Ole (23) fikk AWS-regning på over 500.000 kroner

Mener hobbyprosjektet ble hacka, og håper han slipper å betale. - Skremmende.

Ole Jacobsen brukte bare AWS-serveren til et hobbyprosjekt, og hadde lenge vært langt under grensa for en gratiskonto. Så kom regninga på over 60.000 dollar. 📸: Privat / kode24
Ole Jacobsen brukte bare AWS-serveren til et hobbyprosjekt, og hadde lenge vært langt under grensa for en gratiskonto. Så kom regninga på over 60.000 dollar. 📸: Privat / kode24 Vis mer

- Jeg ble helt paff, og har vært ganske stressa siden, forteller Ole Jacobsen til kode24.

Jacobsen er 23 år gammel, har IKT-fagbrev, jobber som kundebehandler i Lyse i Stavanger og koder hobbyprosjekter på fritida.

Det siste prosjektet hans er en videotjeneste han beskriver som en Streamable-klon, kjørende på Amazon Web Services (AWS) sin S3- og CloudFront-tjeneste.

Lenge holdt han seg godt under begrensningene til en gratiskonto hos AWS.

Men plutselig kom regninga som var høyere enn han noensinne kunne sett for seg.

Piratmateriale

- Først fikk jeg en "DMCA takedown notice", forteller Jacobsen.

DMCA står for Digital Millennium Copyright Act, som er den amerikanske kopibeskyttelsesloven. Noen mente med andre ord at Jacobsen hadde ulovlig kopiert innhold på tjenesten sin, og han fikk beskjed gjennom AWS om å fjerne det øyeblikkelig.

«Jeg stussa litt på dette, og sjekka gjennom alt innholdet.»

- Jeg stussa litt på dette, og sjekka gjennom alt innholdet som lå på webserveren min, fortsetter 23-åringen.

Men han fant ikke videoen som advokatene mente var ulovlig kopiert, så han kontakta AWS igjen, og de anså saken som løst.

- Jeg tenkte ikke så mye mer på situasjonen, før jeg logga på igjen senere for å finne ut mer om hva som hadde skjedd. Da fikk jeg se et utestående beløp på 60.000 dollar.

Regninga fra AWS er langt som et vondt år, og vitner om en voldsom trafikk rundt om i verden.
Regninga fra AWS er langt som et vondt år, og vitner om en voldsom trafikk rundt om i verden. Vis mer

Russiske IP-adresser

Nøyaktig hva som har skjedd vet ikke Jacobsen. Men noen har på en eller annen måte fått tilgang på AWS-kontoen hans, og starta opp nye CloudFront- og EC2-servere.

IP-adressene tyder på at det har skjedd fra Russland, og trafikken på tjenestene de kriminelle satt opp var så høy at regninga altså endte på 60.000 dollar - 520.000 norske kroner.

- Jeg har delt hendelsen på Reddit, og her har jeg forstått det sånn at det sannsynligvis har brukt til mining av kryptovaluta, eller som en strømmeplattform, forteller Jacobsen.

- Jeg synes strømming høres ut som en fornuftig forklaring, i og med at det hovedsakelig er snakk om Cloudfront. Dette kan også forklare copyright-claimen jeg fikk.

Ingen kommentar fra AWS

kode24 har forsøkt å få svar på en rekke spørsmål til Amazon Web Services (AWS), blant annet om 23-åringen faktisk må betale 520.000 kroner for trafikk han mener kriminelle står bak.

- Men vi kan dessverre ikke kommentere spesifikke saker som dette, skriver en PR-person hos AWS, som ber om å ikke bli sitert, i en epost til kode24.

«Vi kan dessverre ikke kommentere spesifikke saker.»

Hen deler bare lenker til artikler om hvordan AWS sin gratisversjon fungerer, til informasjon om hvordan man kan følge med på trafikken, og artikler om hva man skal gjøre om man oppdager uønska bruk.

Så langt kode24 kan se, står det ingenting om hva som kreves for at man skal slippe å betale for trafikk kriminelle står bak.

Forbrukerrådet er usikre

Kostbart misbruk av tjenester er en kjent problemstilling for det norske Forbrukerrådet. Og det første rådet er enkelt: Si fra med én gang du oppdager noe.

Spørsmålet er hva som skjer når skaden først har skjedd.

- Vilkårene til Amazon på dette punktet er ikke spesielt rettet mot forbrukere, og heller ikke spesielt rettet mot Norge. Det betyr at det norske regler for avtaletolkning ikke nødvendigvis gjør seg gjeldende, forteller juridisk seniorrådgiver Thomas Iversen i Forbrukerrådet til kode24.

- Det fremstår likevel som veldig urimelig dersom forbrukeren skal holdes ansvarlig ved misbruk av noe som i utgangspunktet skulle være gratis, fortsetter han.

Forbrukerrådet har ikke et klart svar på hvorvidt Jacobsen kan bli stilt ansvarlig for regninga. Og det er ikke sikkert det er direkte sammenliknbart med for eksempel misbruk av et mobilabonnement eller et bankkort, da disse markedene har regler tilpassa forbrukere, ikke selskaper - slik AWS kan hevde er deres målgruppe.

- Dersom forbrukeren ikke kommer til enighet med Amazon, kan han forsøke å kontakt Forbruker Europa for bistand, tipser Iversen.

«Det fremstår likevel veldig urimelig dersom forbrukeren skal holdes ansvarlig ved misbruk av noe som i utgangspunktet skulle være gratis.»

"Skremmende"

Tilbake i Stavanger sitter Jacobsen og venter spent på et endelig svar fra den amerikanske IT-giganten.

- Saken ligger hos AWS Support nå. Jeg har fått åpnet kontoen og fått beskjed om fjerne tjenester og tilganger som jeg ikke kjenner til. Deretter vil saken bli tatt videre igjen med AWS Billing-avdelingen. Jeg regner egentlig med at det vil løses da, sier han.

- Har du lært noe av opplevelsen, som andre utviklere også kan lære av?

- Mine generelle personvernsrutiner vil definitivt endres etter denne opplevelsen, svarer Jacobsen, som har prøvd å finne seg selv i lekkede brukernavn/passord-databaser uten hell.

- Men jeg synes det er skremmende er at AWS lar brukere sette opp tjenester for disse summene uten noen form for autentisering, annet enn epost og passord. Jeg tror vi bør bli flinkere til å sette oss inn i tjenestene vi tar i bruk, før vi begynner å bruke dem.