Cuando te hackean la cuenta de AWS para minar criptomonedas y no te enteras hasta que te llega una factura de 45.000 dólares

Cuando te hackean la cuenta de AWS para minar criptomonedas y no te enteras hasta que te llega una factura de 45.000 dólares
17 comentarios

En algunas ocasiones, incluso las herramientas y plataformas más reputadas nos proporcionan experiencias lamentables en nuestra faceta de usuarios. La cosa empeora cuando no hablamos de un mero mal funcionamiento, sino de problemas de tipo monetario derivados de una estafa; y ya sencillamente descarrila si una gran compañía es incapaz de ofrecer una adecuada vía de contacto para intentar solventar el problema.

De pronto, el usuario se ve atrapado por la burocracia y los automatismos de una gran compañía para quien él no es más que una minúscula muesca en sus cifras de negocio. ¿Y que ocurre cuando esa gran compañía es nada menos que Amazon, concretamente el servicio de cloud computing AWS, que anualmente genera el 52% de los ingresos del "gigante del e-commerce"?

Jonny Platt, fundador de la herramienta online de análisis SEO SeoScout, compartió ayer con sus seguidores de Twitter una mala experiencia como cliente de AWS. Concretamente, que acababa de recibir un cargo de 45.000 dólares de AWS como consecuencia de un hackeo de su cuenta: alguien había entrado en la misma y la había estado utilizando durante las últimas semanas para minar criptomonedas.

Un vistazo a…
¡QUE NO TE ENGAÑEN! Los principales TIMOS en COMPRAS ONLINE y CÓMO EVITARLOS

Un incremento del 150.000% en el gasto en AWS… y el cliente se entera por su banco, y no por e-mail

Y sin embargo, el problema para Platt no radicaba en el hackeo en sí (no sabe cómo terminó su clave en manos del atacante), sino en que durante las 23 horas siguientes a descubrir lo ocurrido (y mandar el preceptivo ticket de soporte) no hubo forma humana de contactar con AWS para buscar una solución.

Por supuesto, AWS cuenta con una línea de soporte telefónico, así que ¿por qué no usarlo? Pues porque hay que contratarlo aparte, y te cobran por él el equivalente a un porcentaje de tu gasto mensual, de modo que una solución por esta vía pasaba por desprenderse de varios miles de dólares sin garantías de poder recuperar el resto:

"Antes [del hackeo] mi gasto era de 300 dólares, por lo que habría pagado un máximo de 100 dólares. Pero este mes gasté 45.000 dólares. De modo que pedir ayuda por esta vía me costaría 2.000-3.000 dólares".

Platt también protesta por el papel de AWS a la hora de descubrir que estaba siendo víctima de una estafa (es decir, nulo). Explica que ésta no tuvo nada de complejo: se trataba únicamente de un script Bash en Lambda, ya conocido, que descargaba y ejecutaba el software de minería.

El script se reactivaba cada 3 minutos y permanecía minando durante un máximo de 15 minutos… pero lo hacía en todas las "regiones AWS" del mundo.

"Lo que me llama la atención es que el software es bien conocido. […] un archivo de texto sin formato, fácil [de detectar] para alguien como Amazon (buscando cadenas como 'xmrig') y de notificar a los usuarios. En su lugar, me entero a través de una alerta de la compañía de mi tarjeta de crédito".

Script
El script culpable de todo.

"AWS tiene sistemas de alerta que se pueden utilizar para detectar gastos excesivos. Debería haberlos utilizado [pero] no existían cuando me inscribí. Y con 200 enlaces en su menú principal, no son nada fáciles de encontrar".

"En cualquier caso, ¿no sería razonable enviar un e-mail cuando los costos mensuales de la cuenta se incrementan en un 150.000%? ¿O esperar que la mayor empresa de tecnología del mundo haga un poco más para proteger a sus clientes del fraude? […] Y, de verdad, pueden permitirse el lujo de descolgar el teléfono.".

Platt critica el modelo de 'morder el anzuelo' utilizado por AWS para atraer clientes: "en un primer momento los créditos son gratis, luego estás enganchado a AWS de por vida. Pero la mayoría de las PYMES que captan quedarían fulminadas por una factura repentina como esta".

Como conclusión lanzada a los clientes (actuales y potenciales) de AWS, Platt recomienda, en caso de estar usando la plataforma, que verifiquemos nuestra configuración de seguridad y configuremos la detección de anomalías de costos en este enlace, así como reconsiderar "si AWS es la opción adecuada para tu escala y recursos, por muy tentadores que sean sus créditos.

¿Tanto para esto?

A Platt, además, los 45.000 dólares invertidos en esa tarea de minería le parecen "un desperdicio":

"La clave del estafador es pública. Pude buscarlo en el sitio de minería: por mis $ 45k ganaron aproximadamente 6 XMR (Monero)… lo que vienen siendo 800 dólares".

Imagen | Basada en original de Tony Webster

Temas
Comentarios cerrados
Inicio