• Les pirates pénètrent dans les comptes cloud d’Amazon pour exploiter la crypto-monnaie et laissent les propriétaires coincés avec d’énormes factures pour la puissance de calcul.
  • Les experts et les développeurs disent qu’Amazon devrait mettre plus de garde-fous sur la facturation des comptes.
  • Amazon et d’autres fournisseurs de cloud affirment que l’erreur de l’utilisateur est responsable de la plupart des violations de compte.

Chris Chin, un développeur de Seattle qui crée des applications mobiles pour les éditeurs locaux, s’est réveillé le jour de l’An avec une alerte alarmante de son compte Amazon Web Services. Il a déclaré qu’il devait plus de 53 000 $ pour un mois d’hébergement, bien loin de sa facture typique de 100 $ à 150 $.

« J’étais juste choqué et j’ai commencé à paniquer », a déclaré Chin dans une interview avec Insider.

La taille de la facture, confirmée par Insider, a conduit Chin à soupçonner qu’il avait été piraté par des mineurs de crypto-monnaie, qui peuvent générer des frais énormes pour la puissance de calcul brute nécessaire pour produire même de petites quantités de devises numériques comme Bitcoin.

Les attaques de minage de crypto-monnaie ne sont pas nouvelles dans le monde du cloud computing. Mais la valeur croissante de bon nombre des crypto-monnaies les plus populaires depuis le début de la pandémie a renforcé les incitations pour les pirates qui sont capables de réquisitionner les comptes de cloud computing de développeurs sans méfiance. Google a signalé à la fin de l’année dernière que 86% des violations de compte sur sa plate-forme Google Cloud étaient utilisées pour effectuer l’extraction de crypto-monnaie.

Les cibles de ces attaques ont déclaré à Insider que les fournisseurs de services cloud, comme AWS, Google Cloud et Microsoft Azure, ont eu tendance à rejeter la responsabilité des attaques de minage de crypto-monnaie sur les clients, affirmant que les violations sont le résultat de paramètres mal configurés par les utilisateurs ou d’un manque de sécurité des comptes. . Les entreprises ont réitéré ce blâme. Un porte-parole de Google a renvoyé Insider aux recherches de l’entreprise indiquant que les mauvaises pratiques de sécurité des clients ou les « logiciels tiers vulnérables » étaient responsables de près de 75 % des violations de comptes cloud. Le porte-parole de Microsoft a refusé de répondre aux questions.

Publicité

Un porte-parole d’Amazon a déclaré dans un communiqué qu’AWS était « sécurisé par défaut ». Les équipes d’assistance d’AWS « travaillent en étroite collaboration » avec les clients dont les comptes ont été compromis pour « traiter les circonstances individuelles entourant les frais non autorisés », a déclaré le porte-parole.

AWS pointe vers son « modèle de responsabilité partagée », qui stipule qu’Amazon est responsable de l’infrastructure mais que les clients sont responsables de la sécurité, pour justifier pourquoi les utilisateurs peuvent être responsables d’une partie de la facture accumulée par les pirates.

Pour les utilisateurs, cependant, cela signifie qu’une erreur ponctuelle ou une violation inattendue peut les mettre face à face avec une dette potentiellement paralysante.

Chin a finalement été informé qu’AWS pourrait renoncer à la plupart des frais, mais qu’il pourrait encore devoir 25 % de la facture de plus de 50 000 $. Même cela pourrait être ruineux pour Chin, qui affirme que les revenus de son entreprise ont chuté pendant la pandémie.

« Nous sommes une petite entreprise qui lutte pour se maintenir à flot », a déclaré Chin. « Je me sens stressé parce que si nous sommes touchés par la facture, nous devrons fermer l’entreprise. »

« Incitations perverses »

Les pirates compromettent les comptes de cloud computing pour exploiter la crypto-monnaie depuis près d’une décennie, mais le gain n’a jamais semblé plus lucratif qu’au cours des deux dernières années. La valeur de Bitcoin et d’Ether a atteint des sommets historiques en novembre dernier alors que le marché des actifs basés sur la blockchain montait en flèche.

Dans le même temps, la quantité de puissance de calcul nécessaire pour exploiter les crypto-monnaies a augmenté, créant des « incitations perverses » pour les pirates qui peuvent accéder aux ressources informatiques à moindre coût, a déclaré Bruce Schneier, expert en sécurité au Berkman Klein Center for Internet de Harvard. & Société.

Le mois dernier, Jonny Platt, fondateur de SEO Scout, a publié un Fil Twitter décrivant 45 000 $ de frais d’un piratage crypto et peu de réponse d’Amazon. Selon ses calculs, le pirate a utilisé son compte pour extraire seulement 800 $ de la crypto-monnaie Monero. (Platt mentionné Amazon a finalement accepté de renoncer à son onglet de 45 000 $ en tant qu ‘ »exception unique ».)

Plus tôt ce mois-ci, un étudiant californien qui a déclaré n’avoir utilisé AWS que pour un petit projet scolaire a décrit sur Reddit comment il avait été facturé 55 000 $ après le piratage de son compte AWS.

« Je suis étudiant et je viens de perdre presque toutes mes économies destinées aux frais de scolarité », a-t-il déclaré.

La plupart des exemples examinés par Insider concernaient les frais d’Amazon Web Services, mais les clients de Microsoft Azure et de Google Cloud ont également vu des factures exorbitantes à la suite de ces types de hacks de « cryptojacking ». Une entreprise technologique basée au Missouri a été accusée de 760 000 $ après que des pirates ont pénétré dans son compte Microsoft Azure, selon un acte d’accusation fédéral déposé le mois dernier dans le Missouri. Un client de Google Cloud a publié sur le babillard Hacker News en 2019 qu’il avait été facturé 14 000 $ pour un piratage.

Selon les experts, décider qui doit payer les frais d’utilisation du cloud lorsqu’un compte a été compromis n’est pas simple. Alors que les fournisseurs de cloud computing ont tendance à blâmer les erreurs des utilisateurs, la propre sécurité des fournisseurs n’est pas parfaite.

En général, les géants du logiciel devraient pécher par excès de protection pour leurs utilisateurs les moins avertis, a déclaré Tony Anscombe, évangéliste en chef de la sécurité pour la société de sécurité Internet ESET.

« AWS fournit des options pour sécuriser un compte, telles que l’authentification multifacteur basée sur l’application », a déclaré Anscombe. « Mais dans un scénario où le client n’est pas suffisamment informé pour comprendre le risque et protéger un compte en utilisant les options disponibles, la responsabilité incombe au fournisseur d’éduquer le client sur la nécessité de mettre en œuvre la sécurité optionnelle, ou de faire c’est obligatoire. »

Des obstacles plus importants pour les petites entreprises

Amazon finit généralement par renoncer à presque tous les frais encourus par les pirates, a déclaré Corey Quinn, consultant en facturation cloud, mais tout le monde ne le sait peut-être pas – et la navigation dans le support client AWS peut être ardue, en particulier pour les petits clients. Quinn a souligné le suicide en 2020 d’un commerçant de Robinhood âgé de 20 ans, qui croyait à tort qu’il devait 730 000 $, comme un signe que d’énormes factures peuvent encore causer des dommages, ajoutant qu’AWS devrait adopter davantage de garanties.

Les utilisateurs doivent avoir la possibilité d’empêcher AWS de les facturer au-dessus d’un certain montant chaque mois, a déclaré Quinn. « Ne me laissez pas faire quoi que ce soit qui coûtera plus d’argent jusqu’à ce que je dise affirmativement oui », a-t-il déclaré. « Une fois qu’ils ont laissé les gens exprimer leur intention quant à l’utilité du compte, beaucoup de problèmes disparaissent. »

AWS permet aux clients de configurer une alerte lorsque l’utilisation atteint un certain niveau, et Chin a déclaré qu’il avait configuré une alerte pour l’avertir s’il y avait 200 $ de frais. Mais il n’a pas eu de nouvelles d’Amazon jusqu’à ce que sa facture soit beaucoup plus élevée.

Chin a déclaré qu’il était déconcerté qu’AWS n’ait pas détecté l’activité suspecte et ne l’ait pas informé plus tôt.

« Il s’agit de la société de données la plus avancée au monde », a déclaré Chin. « Évidemment, quelque chose ne va pas et ils auraient dû s’en apercevoir. Le pirate a dépensé plus en une journée que moi l’année dernière. »

Chin a déclaré qu’il devait franchir des obstacles que les grands clients d’AWS peuvent contourner en accédant à l’assistance téléphonique, ce qui lui coûterait des milliers de dollars par mois, ce qu’il n’a pas. Près de deux semaines après avoir signalé les accusations pour la première fois, Chin est toujours nerveux en attendant une résolution.

« J’espère qu’Amazon fera ce qu’il faut », a déclaré Chin. « Ils doivent également continuer à travailler pour protéger et éduquer les clients afin que cela n’arrive à personne d’autre. Cela peut ruiner les gens. »

Vous travaillez chez Amazon ? Contactez la journaliste Katherine Long via les applications de messagerie cryptées Signal/Telegram (+1-206-375-9280) ou par e-mail (klong@businessinsider.com).

Vous avez un conseil ? Contactez le journaliste Ben Bergman à bbergman@insider.com ou sur Twitter @thebenbergman.

Tendre la main à l’aide d’un appareil non professionnel. Consultez le guide source d’Insider pour d’autres conseils sur le partage d’informations en toute sécurité.


Rate this post
Publicité
Article précédentLa campagne Biden interdit TikTok – PC Guide
Article suivantGoogle dans un accord de 1 milliard de dollars pour acheter les bureaux de Central Saint Giles à Londres | Google
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici