2022/01/31

A conta surpresa da cloud do Have I Been Pwned

O responsável pelo Have I Been Pwned (HIBP) foi surpreendido por uma conta inesperada da cloud que poderá servir de lição para que outros não se vejam na mesma situação.

Troy Hunt tem mantido o serviço Have I Been Pwned, que mantém um registo de todas as credenciais que vão sendo roubadas e surgindo na internet, e que alertam os utilizadores quando algo referente a um registo seu por lá aparece. Para qualquer pessoa que já ande pela web há alguns anos, há boas probabilidades que por lá já tenha alguma informação.

Mas o início de 2022 começou da pior maneira, ao receber uma conta muito mais elevada da cloud Azure do que era habitual.
Em vez do habitual valor inferior a 500 dólares australianos mensais, deparou-se com uma conta de mais de 11 mil dólares - cerca de 7 mil euros!

Depois de alguma investigação, descobriu-se que o culpado era o tamanho da base de dados que é disponibilizada para que outros possam fazer as suas verificações. Embora o ficheiro seja disponibilizado via Cloudflare, precisamente para evitar custos excessivos, havia uma configuração que limitava a cache a ficheiros com um máximo de 15 GB. Com a última actualização, a BD passou a ter um tamanho de 18 GB, deixando de ficar em cache pela Cloudflare e fazendo com que cada download e acesso passasse a ter custo directo na cloud Azure que ele utiliza.

O resultado da lição foi configurar alertas para quando o valor a pagar ultrapassa anormalmente aquele que seria esperado, e que se estivessem activados antes, permitiriam detectar e resolver a situação antes que ficasse tão dispendiosa.

1 comentário:

  1. Benvindo à realidade dos Cloud provider! Muitos deles ganham balurdios à custa de má configurações ou desleixo dos seus utilizadores.

    Ter sites ou ambientes na cloud obriga a uma configuração rigorosa e bem testada sob pena de aparecerem contas montruosas quando menos se espera.

    ResponderEliminar