Jonny Platt estava tão calmo em casa quando viu o último extrato de seu cartão de crédito: Eu tive que pagar $ 45.000 para ter usado AWS como o inferno. Espere, não foi ele. Ele era um cibercriminoso, que conseguiu sua senha de serviço e usei para minerar criptomoedas (especificamente, Monero) usando a plataforma de computação em nuvem da Amazon.
Platt ficou horrorizado ao ver como ninguém na Amazon respondeu aos seus pedidos de ajuda e apoio, e contou seu pesadelo particular em um tópico do Twitter que serve como um aviso. Tenha cuidado – mais uma vez – com dados confidenciais como este, porque podem ser usados para causar problemas muito sérios. O mais triste é que o cibercriminoso gastou $ 45.000 (de Platt) para minerar apenas $ 800 na forma de Monero.
Um pesadelo causado por uma conta antiga e subutilizada
Platt não entendeu como sua senha acabou nas mãos do cibercriminoso, afirmando que Essa conta tinha mais de nove anos e eu a usei muito pouco: apenas para experimentar projetos antigos seus na plataforma Amazon.
🎄 Estou ansioso para anunciar que acabei de receber meu presente de Natal de @awscloud!
😱 Horrorizado ao ver que há $ 45.000 em cobranças devido a algum golpista hackeando minha conta + minerando Crypto nas últimas semanas
⏰ Não dormi noite passada. Já se passaram 23 horas desde meu tíquete de suporte e nenhuma resposta.
– Jonny Platt (@jonnyplatt) 14 de dezembro de 2021
O cibercriminoso simplesmente acessou o serviço com suas credenciais e executou um pequeno programa, um script bash, no serviço AWS Lambda, uma plataforma de ‘computação sem servidor’ que permite que o código seja executado e que também pode ser escalado de acordo com as necessidades desse código.
Este pequeno script bash era o responsável por essa fatura.
O código era um pequeno arquivo de texto fácil de identificar: continha uma chamada para xmrig, um aplicativo de mineração usado com frequência neste tipo de invasão. O script baixava o minerador a cada três minutos e o executava por no máximo 15 minutos em todas as regiões da AWS cobertas pelo serviço em todo o mundo.
O resultado foi que por semanas aquele script esteve rodando e explorando Monero. Platt só soube quando chegou a conta do serviço, que obviamente não era dele: de repente descobriu que tinha que pagar $ 45.000.
Ele tentou entrar em contato com a AWS enviando um tíquete de suporte, mas 23 horas depois de fazer isso, ele ainda não tinha conseguido falar com ninguém. A opção era ligar por telefone, mas para isso era preciso pagar e que o suporte é mais caro quanto maior o uso de AWS é.
No caso dele, o problema era que, por conta daquela conta, a ligação custaria 2.000 ou 3.000 dólares. Como este usuário explicou, Amazon provavelmente deveria ter acionado algum tipo de aviso percebendo que o custo é aumentou em 150.000% de repente, como aconteceu no caso dele.
Aqui indicou que é verdade que a Amazon oferece uma forma de configurar o sistema de anomalia de custos – pode ser feito a partir deste link se forem clientes do serviço – mas essa opção não estava disponível quando começou a utilizar o serviço há nove anos e então esqueci disso.
A coisa mais trágica é provavelmente que o cibercriminoso gastou muito dinheiro da Platt na AWS, e esse investimento Serviu apenas para minerar 6 XMR, a criptomoeda da plataforma Monero, cerca de 1.000 euros ao preço atual.
Platt explicado no Twitter como eles finalmente ligaram para ele da Amazon 27 horas após o incidente – e provavelmente depois de ver sua história se tornar viral – mas eles ainda precisam monitorar a situação e confirmar o problema para revisar o problema: isso pode levar dias.
Discussão sobre isso post