Des projets open source mal configurés peuvent même mettre en danger les données des clients
Paume faciale : Les compartiments Amazon S3, qui font partie de l'infrastructure Amazon Web Services, sont parfaits pour stocker et gérer d'énormes quantités de données à grande échelle, mais ils peuvent également constituer un risque financier et de sécurité s'ils sont utilisés avec de mauvaises configurations par défaut.
L'utilisation d'un compartiment AWS S3 privé avec un nom simple et facile à deviner pourrait rapidement devenir un désastre financier, même pour le projet cloud le plus simple. Un développeur nommé Maciej Pocwierz a découvert cette dure vérité alors qu'il travaillait sur un système d'indexation de documents pour un client et a choisi de partager son expérience pour sensibiliser tous les utilisateurs de la plateforme AWS au problème.
Dans un article récent sur Medium, Pocwierz a déclaré avoir créé un seul compartiment S3 dans la région eu-west-1 de la plate-forme AWS pour télécharger et tester certains fichiers. À peine deux jours plus tard, le développeur a vérifié la page de facturation AWS et a découvert qu'il avait déjà été facturé 1 300 $. Pocwierz s'attendait à « bien réussir » dans le niveau gratuit du service, mais le compartiment S3 a enregistré près de 100 millions de tentatives de création de nouveaux fichiers via des requêtes PUT.
Comme l'a confirmé plus tard le support AWS, S3 facture aux clients les demandes entrantes légitimes et non autorisées. Après avoir enquêté sur le problème, Pocwierz a découvert que l'un des outils open source les plus populaires qu'il utilisait avait une configuration par défaut pour stocker les sauvegardes dans S3. Le nom du bucket par défaut de l'outil et celui choisi par le développeur pour tester son projet se sont avérés être exactement les mêmes.
Chaque instance de l'outil susmentionné essayait de sauvegarder des fichiers de sauvegarde sur son compartiment fraîchement ouvert, et Amazon facturait en conséquence. Pocwierz n'a pas divulgué le nom de l'outil, car cela serait devenu un risque important pour le nombre indéterminé d'entreprises utilisant ce même outil.
Le développeur a tenté de tester ce cauchemar potentiel en matière de sécurité et de confidentialité en ouvrant son compartiment aux écritures publiques. En seulement 30 secondes, le compartiment désormais inscriptible a enregistré plus de 10 Go de données provenant de tous les coins d'Internet. Il a contacté certaines des entreprises concernées par le problème, mais celles-ci ont apparemment choisi de « l’ignorer complètement ».
Pocwierz a eu la chance de voir la facture indésirable annulée avec l'aide du support AWS, même si la société a confirmé que le système fonctionnait comme prévu. L'évangéliste en chef d'AWS, Jeff Barr, a déclaré sur X que les clients « ne devraient pas avoir à payer » pour des demandes d'écriture non autorisées qu'ils n'ont pas initiées, s'attendant à ce que des changements utiles en la matière arrivent « sous peu ».
Le développeur a également contacté l'équipe derrière l'outil sans nom, et les développeurs ont décidé de modifier la configuration par défaut du logiciel pour résoudre le problème. Il a également déclaré que les clients S3 pourraient améliorer considérablement la sécurité d'un projet en ajoutant un suffixe aléatoire aux noms de leurs compartiments.