خدمة عشاق التكنولوجيا لأكثر من 25 عامًا.
TechSpot يعني التحليل الفني والمشورة يمكنك الوثوق.
كف الوجه: تعد حاويات Amazon S3، وهي جزء من البنية التحتية لـ Amazon Web Services، رائعة لتخزين وإدارة كميات هائلة من البيانات على نطاق واسع، ولكنها يمكن أن تصبح أيضًا مخاطرة مالية وأمنية إذا تم استخدامها مع تكوينات افتراضية سيئة.
قد يؤدي استخدام مجموعة AWS S3 الخاصة باسم بسيط وسهل التخمين إلى كارثة مالية حتى لأبسط مشروع سحابي. اكتشف مطور يُدعى Maciej Pocwierz هذه الحقيقة الصعبة أثناء العمل على نظام فهرسة المستندات لأحد العملاء، واختار مشاركة التجربة لتوعية كل من يستخدم منصة AWS بالمشكلة.
في مشاركة متوسطة حديثةقال Pocwierz إنه أنشأ مجموعة S3 واحدة في منطقة eu-west-1 لمنصة AWS لتحميل بعض الملفات واختبارها. وبعد يومين فقط، قام المطور بفحص صفحة فواتير AWS واكتشف أنه قد تم تحصيل مبلغ 1300 دولار منه بالفعل. كان Pocwierz يتوقع “الأداء الجيد” ضمن الطبقة المجانية للخدمة، لكن مجموعة S3 سجلت ما يقرب من 100 مليون محاولة لإنشاء ملفات جديدة من خلال طلبات PUT بدلاً من ذلك.
وكما أكد دعم AWS لاحقًا، فإن S3 تفرض رسومًا على العملاء مقابل الطلبات الواردة المشروعة وغير المصرح بها. عند التحقيق في المشكلة، اكتشف Pocwierz أن إحدى الأدوات الشائعة مفتوحة المصدر التي استخدمها تحتوي على تكوين افتراضي لتخزين النسخ الاحتياطية في S3. تبين أن اسم المجموعة الافتراضي للأداة والاسم الذي اختاره المطور لاختبار مشروعه متطابقان تمامًا.
كان كل مثيل للأداة المذكورة أعلاه يحاول حفظ ملفات النسخ الاحتياطي في الحاوية المفتوحة حديثًا، وكانت أمازون تصدر الفواتير وفقًا لذلك. ولم يكشف Pocwierz عن اسم الأداة، لأنها كانت ستشكل خطرًا كبيرًا على عدد غير محدد من الشركات التي تستخدم نفس الأداة.
حاول المطور اختبار هذا الكابوس المحتمل للأمان والخصوصية من خلال فتح مجموعته للكتابة العامة. وفي 30 ثانية فقط، سجل الدلو القابل للكتابة الآن أكثر من 10 غيغابايت من البيانات الواردة من كل ركن من أركان الإنترنت. لقد اتصل ببعض الشركات المتأثرة بالمشكلة، لكن يبدو أنهم اختاروا “تجاهله تمامًا”.
كان Pocwierz محظوظًا بإلغاء الفاتورة غير المرغوب فيها بمساعدة دعم AWS، على الرغم من تأكيد الشركة أن النظام يعمل كما هو متوقع. رئيس المبشرين في AWS جيف بار قال على X أن العملاء “لا ينبغي عليهم الدفع” مقابل طلبات الكتابة غير المصرح بها التي لم يبادروا بها، متوقعين وصول بعض التغييرات المفيدة في هذا الشأن “قريبًا”.
تواصل المطور أيضًا مع الفريق الذي يقف وراء الأداة غير المسماة، وقرر المطورون تغيير التكوين الافتراضي للبرنامج لإصلاح المشكلة. وقال أيضًا إن عملاء S3 يمكنهم تحسين أمان المشروع بشكل كبير عن طريق إضافة لاحقة عشوائية إلى أسماء مجموعاتهم.