מפתח שתכנן מערכת עבור לקוח פתח באקט, וגילה להפתעתו שאותו שם קיבל תוך יממה אחת המוני קריאות. הסיבה: כלי פופולרי למפתחים השתמש בשם ברירת מחדל - שהיה זהה לחלוטין. דרישת התשלום לא איחרה להגיע - ועמדה על 1,300 דולר ליום אחד של פעילות. וגם: מה השם שהצית את הסערה?
את הסיפור ההזוי הזה אתם חייבים לשמוע. מצ'י פוצוירז' (Maciej Pocwierz), מפתח בחברת Semantive, החל לתכנן לפני כמה שבועות PoC למערכת אינדוקס מסמכים עבור לקוח. כחלק מהתהליך, הוא פתח S3 Bucket בריג'ן eu-west-1, והעלה כמה קבצים קטנים לצורך בדיקות. יומיים לאחר מכן הוא נכנס לעמוד התשלומים של AWS.
פוצוירז' חשב שהוא עדיין בתוך המגבלות החינמיות, אלא שעל פי נתוני AWS, הבאקט שהוא קיבל יותר מ-100 מיליון קריאות ב-24 שעות בלבד, מה שהוביל לדרישת תשלום של 1,300 דולר ליום אחד של פעילות עבור מאגר ריק. הוא ראה אלפי בקשות מחשבונות רבים שהוא לא מכיר או קשורים אליו.
בהתחלה חשד שמדובר במתקפת DDoS, אלא שלדבריו, "אחד מכלי ה-Open Source הפופולריים ביותר" השתמש בשם ברירת מחדל כדי לאחסן את כל הגיבויים שלו. אותו כלי, אשר שמו לא נחשף, השתמש בשם שהוא השתמש לבאקט שלו. כל התקנה והפעלה של אותו כלי פופולרי, גררה קריאה לאותו באקט, אשר שמו לא נחשף מטעמי אבטחה.
על פי דיווח גיקטיים, המפתח מספר כי פנה לתמיכה של AWS, והתשובה שהוא קיבל הייתה שלא מדובר בבאג, אלא בפיצ'ר, וגם אם מישהו פונה ל-S3 שלכם בטעות, אתם אלו שתשלמו על כך. פוצוירז' פתח את הבאקט שלו כך שכל אחד יוכל לכתוב אליו, ותוך 30 שניות הוא אסף יותר מ-10 גיגה של מידע פנימי שלא שייך לו ומפתחים השאירו. כך נחשפה דליפת מידע מאותו כלי פופולרי. אמזון הסכימו לבטל את החיוב המיותר, והמקרה פורסם בחשבון הלינקדאין שלו וזכה לתהודה רבה.
