Недавно я завершил аудит своего SaaS-клиента. Его история достойна рассказа. Это история о жадности, лжи и красоте хакинга.
Это история о том, как благодаря мой клиент снизил свои ежемесячные траты на AWS на 90 тысяч долларов благодаря таинственному разработчику, который исчез, как только работа была сделана.
Когда спустя полгода затраты на AWS снова взлетели примерно до 120 тысяч в месяц, этот клиент попросил меня разобраться, что же произошло на самом деле.
И разгадка оказалась совершенно сумасшедшей!
Исходные данные
Из соображений NDA я не могу раскрывать имя клиента или отрасль, в которой он работает. Но это SaaS-компания, предоставляющая продукт на очень нишевом промышленном рынке. Её продукт можно описать как AI-модель, использующую данные от различных сторонних приложений и создающую ценные прогнозы.
В этой истории важную роль сыграют два аспекта.
Данные распределены по множеству сторонних приложений без API (промышленные машины), поэтому мой клиент разработал расширение для Chrome, которое собирает их (наподобие RPA) и отправляет в инстансы AWS для потребления.
Работа AI-модели стоит достаточно дорого, из-за чего в среднем затраты на вычислительные ресурсы составляли около 100 тысяч долларов в месяц.
Злодей
Почти год назад с директором по ИТ моего клиента связался фриланс-разработчик, заявивший, что поможет сэкономить 90% от затрат на облачные сервисы. Его предложение отклонили.
Однако спустя несколько месяцев был назначен новый директор по ИТ, которому необходимо было продемонстрировать руководству свои успехи. Тем временем, разработчик продолжал настаивать и даже сделал предложение, от которого невозможно отказаться: ему выписывают один чек на 50 тысяч, если удастся выполнить обещанное, или ничего не платят.
Для нового директора по ИТ это был дешёвый способ показать себя с лучшей стороны перед руководством. Он дал разработчику добро.
Трюк
С этого началось моё расследование. Первым делом я увидел, что разработчик не вносил никаких коммитов, кроме как в расширение Chrome. Оно было довольно простым: скрейпило интерфейсы разных приложений, извлекало данные, отправляло их в облако и запускало обработку.
После того, как над ним потрудился разработчик, объём его кодовой базы удвоился. Появились сотни новых файлов. В частности, моё внимание привлёк один из них, большой файл «accounts.yaml», содержавший примерно 1 миллион аккаунтов Google.
Какого чёрта здесь происходит? Все аккаунты казались фальшивыми, похоже, их купили в даркнете за сотню баксов.
Этот файл позволил мне разрешить головоломку.
Разработчик больше не загружал данные в облако клиента. Он создавал пробные аккаунты GCP при помощи одного из миллиона аккаунтов Google, затем загружал туда модель, данные, запускал выполнение, и завершал работу после получения результата.
Это было возможно только благодаря… расширению Chrome, которое не позволяло сработать проверке безопасности Google и отказать в создании аккаунта.
Разработкой ПО для клиента в основном занимались сторонние партнёры, поэтому труд разработчика никто не контролировал. Он отчитывался напрямую перед директором по ИТ, поэтому никто не оспаривал его работу и даже не проверял код.
Как и было обещано, затраты упали на 90%. Ему заплатили 50 тысяч долларов. А потом он пропал. Полностью.
Счастливый директор по ИТ хотел дать этому гению новые задачи. Но тот испарился. Не отвечал на электронные письма и голосовые сообщения по телефону, удалил аккаунт в LinkedIn. Исчез.
Провал
Несколько месяцев спустя затраты снова начали расти. Каждый раз, когда бесплатный аккаунт GCP не срабатывал, данные отправлялись старой системе AWS. Похоже, что у кода закончились валидные аккаунты Google и/или Google начал лучше справляться с отловом автоматизированного создания аккаунтов.
Комментарии (96)
lamerok
00.00.0000 00:00+31Не ну 40 000 то сэкономил всё равно. Даже больше, если пару месяцев, то 130 000.
edogs
00.00.0000 00:00+5Как бы это не аукнулось. С тем же успехом можно нанять анонима для рисования логотипа в 3 раза дешевле, он его откуда-нибудь сопрет и исчезнет. А прилетит за неправомерное использование если что - компании. GCP наверняка имеет условия запрещающие его так использовать, со штрафами и компенсациями.
MasterMentor
00.00.0000 00:00Тогда смысл статьи прояснился: через объявление ищут чувака, чтобы тот им ещё 1М акков залил. В конце должна быть приписка: "Чувак, вернись, я всё прощу! (твой директор)"
aik
00.00.0000 00:00+58Если через полгода только затраты взлетели обратно, то этот товарищ сэкономил конторе полмиллиона примерно.
Andrey_Dolg
00.00.0000 00:00+6Гениально и просто. А чего "Злодей" ведь совершенно честно сэкономил, временно правда.)
(Промахнулся)
izogfif
00.00.0000 00:00GCP же без привязки карты не позволит создавать проекты. Неужто тот надыбал миллион аккаунтов, к каждому из которых была привязана реальная карта?
edogs
00.00.0000 00:00Одна карта может быть привязана к нескольким аккаунтам, поэтому задача в целом сводится только к количеству аккаунтов.
smartpunter
00.00.0000 00:00+48Всего-то надо поставить в подвале компании десяток железных серверов по 40 тысяч каждый и пусть жужжат, модельку считают.
Нет, надо обязательно в облако всё пихать, за сотни килобаксов в месяц.
artemlight
00.00.0000 00:00+15думается мне, что за 100к в месяц там был далеко не десяток серверов.
мы считали как-то раз стоимость только compute instance без учета затрат на обслуживание-амортизацию-итд - и гугловый клауд по стоимости был эквивалентен примерно 4 годам владения.
а для того, что они там за 100к в месяц арендуют - боюсь, что пришлось бы собственный дц в подвале строить.
Yuriks111
00.00.0000 00:00+1а можете поделиться анализом? многим бы было полезно
кроме стоимости владения, железо быстро устраивает, в облаке постоянно обновляется
kap1ik
00.00.0000 00:00Если все правильно спланировать по комплектующим, расходникам, сроку жизни сервера и т.п., а так же найти где скупают Б\У сервера, то выходит дешевле, чем в облаке, НО самый главный минус - ты не знаешь скорость усложнения вычислений. Если эта параметр заранее известен: через какой промежуток времени тебе понадобиться увеличить мощность и насколько - то все легко и просто, а если они неизвестный - лучше облако (ну или стойку выкупить в ДЦ и самому всё, но это не меньший геммор).
Popadanec
00.00.0000 00:00Да в общем то. Облачные тарифы так рассчитываются, чтобы это было немного дороже, но не слишком(чтобы достаточная часть клиентов сочла условия приемлемыми).
denis-isaev
00.00.0000 00:00+7Это смотря как считать и что сравнивать.
К примеру, если залить на какой-нибудь дедик БД объемом 100Gb и ничего с ней не делать месяц, то у железного хостера это вам обойдется в 40 евро, а в Firestore - 18 баксов.А если из этой БД начать постоянно что-то считать со скоростью 1000 rps, то у железного хостера это останется 40 евро, а в Firestore станет 1500 баксов.
А если посмотреть в сторону Functions/Lambda, с аналогичным сравнением, то там вообще атас.Облака требуют куда более скрупулезного подхода к архитектуре и реализации софта и не прощают ошибок :)
Tsimur_S
00.00.0000 00:00+2Облачные тарифы так рассчитываются, чтобы это было немного дороже, но не слишком
Если считать в 3-10 раз дороже как "немного но не слишком" то в общем то да вы на 100% правы.
Popadanec
00.00.0000 00:00Раз активно пользуются, значит не слишком. Эластичность спроса не нарушена.
Opaspap
00.00.0000 00:00Да просто берешь и по терафлопам и памяти считаешь в переводе на топовые видюхи. И да, не считая электричества и обслуживания.
denis-isaev
00.00.0000 00:00За 100к/мес можно взять два v4-64 TPU инстанса в облаке.
fasvik
00.00.0000 00:00Сдаётся мне что маловероятен тот вариант, в котором написано это все на Tensor'ах. Продукту больше года, тогда ещё такие варианты были не столь популярны. А переписывать такой продукт довольно затратно..
vmarunin
00.00.0000 00:00+10А какая у них цена простоя?
Потому что к десятку железных серверов в подвале надо добавить подвал электричество, кондиционер, бесперебойник, запчасти 2 разных толстых интернет-канала и обеспечить круглосуточное дежурство человека с отвёрткой.И то вероятность "ой" будет кратно выше чем в AWS.
И всё это непрофильная деятельность для компании, раз они даже для продакшен пайплайна (сбор данных) привлекали внешних консультантов. То есть шишки будут набиты и оплачены.
Другое дело, что на 90 тыс. в месяц можно уже подумать про переезд в облако попроще или на bare metal хостинг. Так сказать есть слона по кускам
PuerteMuerte
00.00.0000 00:00+41Потому что к десятку железных серверов в подвале надо добавить подвал электричество, кондиционер, бесперебойник, запчасти 2 разных толстых интернет-канала и обеспечить круглосуточное дежурство человека с отвёрткой
Есть очень простая математика: если ваша софтина загружает под завязку десяток железных серверов, то перенося её в облако, вы будете оплачивать облачному провайдеру десяток его железных серверов, его электричество, его кондиционер, его бесперебойник, его запчасти, его интернет-каналы, его человека с отвёрткой, амортизацию части его дата-центра, содержание его административного аппарата, его саппорта, его маржу и его налоги.
Поэтому облако дешевле собственных серверов в двух случаях:
а) если ваша нагрузка несущественна, и не догружает под завязку даже один сервер.
б) если ваша нагрузка имеет эпизодический характер, лишь время от времени требуя существенных мощностей.
В остальных кейсах намного дешевле организовать собственную серверную, чем арендовать.
slonpts
00.00.0000 00:00+8Согласен с вами! Но еще надо учесть длительность владения проектом. А это величина труднопредсказуемая, особенно на начальном этапе.
И может оказаться, что дешевле платить за облако год, чем покупать железо стоимостью как 3-4 года аренды + строить свою инфраструктуру + нанимать админа.
А проект потом окажется не на столько приносящим деньги.
Если через год становится ясно, что оно взлетело и летит стабильно - тогда уже свое железо покупать
Судя по описанию проекта, тут уже можно и задуматься о своих серверах. Но ведь нет ничего более постоянное, чем временное решение?
vrangel
00.00.0000 00:00Ещё есть точки на карте с очень дорогим электричеством, тоже аргумент в пользу облака.
PuerteMuerte
00.00.0000 00:00А вы думаете, облачные датацентры находятся в точках с дешёвым электричеством? Большинство из них как раз в странах как раз с дорогим электричеством, и его стоимость тоже включена в ваш прайс.
vvpoloskin
00.00.0000 00:00+2Есть ещё момент с эксплуатационными затратами, надежностью и SLA. Если для пачки серверов надо нанимать сисадмина и платить за жирный канал, становится не все так однозначно. У облаков же как правило эти ресурсы шарятся между всеми остальными серверами. Кроме того, ни для кого не секрет, что облака сдают с переподпиской по физическому ресурсу.
Areso
00.00.0000 00:00+1А для облаков сисадмины не нужны? Нужны. Но то, что их теперь называют девопсами не делает их дешевле, скорее наоборот.
mayorovp
00.00.0000 00:00+2В облаке всё равно администрирования надо меньше, если используются специализированные сервисы, а не режим VDS-ки.
Скажем, я очень сомневаюсь, что у клиентов облачного Sentry часто возникает проблема с недоступностью из-за того, что Clickhouse отожрал в простое 60 гигабайт памяти (включая весь своп!). Такие вещи решаются админами Sentry, а не девопсами.
Vadem
00.00.0000 00:00+7если ваша софтина загружает под завязку десяток железных серверов, то перенося её в облако, вы будете оплачивать облачному провайдеру десяток его железных серверов, его электричество, его кондиционер, его бесперебойник, его запчасти, его интернет-каналы, его человека с отвёрткой, амортизацию части его дата-центра, содержание его административного аппарата, его саппорта, его маржу и его налоги.
Только энергоэффективность датацентра будет значительно выше вашей серверной, железо облачный провайдер будет закупать с большой скидкой, а человек с отвёрткой будет обслуживать тысячу серверов, а не десяток и т.д. и т.п. Получится ли серверная в итоге дешевле? Я не знаю, но математика точно не такая уж и простая.
б) если ваша нагрузка имеет эпизодический характер, лишь время от времени требуя существенных мощностей.
У большинства вёб приложений, например, загрузка менятся в зависимости от времени суток, дня недели, праздников и т.д.
Layan
00.00.0000 00:00У большинства вёб приложений, например, загрузка менятся в зависимости от времени суток, дня недели, праздников и т.д.
Это как раз то, про что многие забывают. У нас в компании есть случаи, когда очень мощное железо включается на 2-3 часа в раз в месяц, или раз в день. И не нужно платить за сервер 24/7 при наличии почасовой тарификации.
vmarunin
00.00.0000 00:00+2Даже в вашей модели, а что если нагрузки на 1.1 сервера? Надо же покупать 2, то есть имеем КПД 55%. На самом деле надо 3, чтобы иметь возможность один выключить для обслуживания.
Согласен, что есть порог по количеству серверов, после которого дешевле нанять людей и сделать самим, а не покупать сервис. Но это явно не 1 и не 10 серверов.
Ещё точнее там много уровней по которым можно двигаться от "лямбда в AWS" до "собственный датацентр". Можно взять сервера в том же AWS, можно взять сервера не у AWS, можно арендовать место в чужом датацентре. Яндекс уже стоит свои датацентры и проектирует свои корпуса, стойки и материнские платы.
Но для каждого шага "вниз" нужно нанимать команду людей, учить их, вкладываться в R&D, что дорого. Всё это оправдано на тысячах и десятках тысяч серверов, если они у вас есть, то вам не нужны советы от комментаторов с Хабра :)
Stas911
00.00.0000 00:00+1Я работал в банке и там считали риски на гриде из 1000+ железных машин. Так вот утилизация у них недотягивала до 10% (6-7% вроде насколько помню). Но час в день загрузка была под сотню.
PuerteMuerte
00.00.0000 00:00+1Тут я вам могу ответить цитатой одного парня, вы, наверное, его уже читали:
б) если ваша нагрузка имеет эпизодический характер, лишь время от времени требуя существенных мощностей.
Хотя если вы работали в банке размером меньше Credit Suisse, и для расчёта рисков вам нужен был грид из 1000+ серверов, мне сдаётся, там есть непаханное поле для оптимизации сего процесса.
Opaspap
00.00.0000 00:00+1Просто в банках оракл с кубами
PuerteMuerte
00.00.0000 00:00Ну мне это ничего не говорит. В кубах же вы не производите расчёты рисков, и вообще никакие расчёты, это data warehouse, а не транзакционная база. Просто бывает, что какую-то мудрёную бизнес-логику вешают на ETL-скрипт, который данные в те кубы льёт, и в итоге оно действительно требует 1000+ тормознутых инстансов, но это то самое непаханное поле для оптимизации.
Stas911
00.00.0000 00:00Так стабильных загрузок почти и нет в природе - есть естественные колебания (в течение дня, недели), всякие регуляции, начало бизнес дня и прочие колебания нагрузки.
PuerteMuerte
00.00.0000 00:00Так фишка в том, что и у облака тоже нет настолько стабильных нагрузок, чтобы равномерно раскидать стоимость аренды серверов по всем своим клиентам. Все их клиенты-финансовые организации дружно проводят сеттлмент после окончания банковского дня в своей зоне. А все их клиенты-магазины дружно наваливают транзакции в чёрную пятницу и перед рождественскими/новогодними праздниками. Поэтому облачные ресурсы точно так же часть времени простаивают, часть — в дефиците, а каждый сервер жрёт энергию, обслуживается и амортизируется непрерывно, и это тоже уже включено в стоимость облачных ресурсов. Чудес не бывает.
Stas911
00.00.0000 00:00+1Но за счёт масштаба можно добиться намного более высокой утилизации, чем у любого клиента. А ненужное продать на spot рынке по себестоимости
aPiks
00.00.0000 00:00+7Неправильно, потому что
а) тот, кто специализируется на чём-то, делает это быстрее, а значит дешевле для себя.
б) облако более гибко в использовании, то есть ваш пик у кого-то спад в нагрузке и можно гибко использовать железо.
в) когда амазон покупает 12 тыс серверов - цена n, а когда вы покупаете 12 серверов - цена 2n, если не 3n за каждый.
г) когда есть готовое решение, масштабирование этого решения на 1000 клиентов намного дешевле, чем когда вы то-же самое решение создаёте только для себя.
в) компетенции Амазона гораздо выше компетенции админа Васи с отверткой, что потенциально может вылиться в простой и финансовые убытки.PuerteMuerte
00.00.0000 00:00в) когда амазон покупает 12 тыс серверов — цена n, а когда вы покупаете 12 серверов — цена 2n, если не 3n за каждый.
Ну эти же цифры сугубо пальцев в небо. Я покупаю свои 12 серверов не поштучно в магазине у дома, я покупаю их у дистрибьютора — конторы, которая покупает 12 тысяч на весь регион примерно по той же цене, что и Амазон. И что, вы где-то видели дистрибьютора, который продаёт их с двухкратной (или тем более, трёхкратной) наценкой? Обычная дистрибьюторская наценка — 30-50%, это позволит и операционные расходы окупить, и прибыль 10-15% поиметь. Ну т.е. разница есть, но не настолько критичная, чтобы существенно поменять экономику.
Плюс, ещё Амазон покупает какие-то типовые конфигурации. И если вам для ваших нужд понадобилось, например, больше дискового пространства, или там вычисления на GPU, вы очень неприятно удивитесь ценам облачных провайдеров.
Stas911
00.00.0000 00:00Добавлю, что многие вещи вы просто не сможете купить на рынке, тк AWS кучу всего реализовал в своем кастомном силиконе, который поддерживает работу их системы виртуализации.
PuerteMuerte
00.00.0000 00:00Это, кстати, вообще основной аргумент. Если рассматривать облако просто как хостинг вашего софта, экономика там действительно грустная уже для аренды чего-либо размером с одну стойку. Но если рассматривать облако ещё и как аренду готовых софтовых решений, с этой стороны оно намного привлекательнее. Тут и СУБД на любой вкус, будь-то реляционка, будь-то NoSQL, тут и контейнеры, и очереди сообщений, и мощные тулзы для аналитики и т.д.
nidalee
00.00.0000 00:00то перенося её в облако, вы будете оплачивать облачному провайдеру десяток его железных серверов, его электричество, его кондиционер, его бесперебойник, его запчасти, его интернет-каналы, его человека с отвёрткой, амортизацию части его дата-центра, содержание его административного аппарата, его саппорта, его маржу и его налоги.
Вы забыли пробульонто, что облако имеет не десяток железных серверов, а тысячу. И за все платит оптом, сильно дешевле в пересчете на один сервер, чем у вас.
А еще может себе позволить кидать простаивающие сервера на другие задачи\клиентов. Ваша железка так не сможет. По крайней мере так оперативно — точно.Areso
00.00.0000 00:00Почему-то по ценам для конечных клиентов вся эта оптимизация незаметна.
Да, понятно, что сделать в 1 лицо Tier III у себя в офисе выйдет недешёво. Но если вам не нужны 99,95, а устроят вполне человеческие 99,5%, то можно сделать относительно бюджетно.
vvbob
00.00.0000 00:00+5Сейчас еще появился риск того, что вам завтра в облаке просто возьмут и все отключат нахрен из-за санкций, потому что вы в неправильной стране бизнес ведете. И весь ваш бизнес пойдет по бороде, потому что за пару дней серверную в подвале не сделаешь.
XaBoK
00.00.0000 00:00+2В одном lift&shift проекте стоимость 10х2 средненьких машин выходила в 150 килобаксов в год. Основная цена была в лицензиях легаси на винду и сиквел. Собрать у себя он-прем было около 60. И плюс 10 в месяц на 24/7 админов. Проект на 10 лет. Угадайте какой вариант победил? Во превых "генеральный мне яйца отрежет, если я затребую сейчас 70к, а 12.5 (150/12) частично влазят в месячный бюджет и надо-то еще часть экстра расходами оформить" и, конечно, "мы уже обещали облако".
Stas911
00.00.0000 00:00+3Мы для своего клиента как-то запускали тысячи довольно жирных контейнеров в Fargate, считали за несколько часов и гасили до следующего раза. Сколько надо железа притащить в подвал и какова будет его загрузка, если считать надо условно 6 часов но раз в месяц?
kirillkosolapov
00.00.0000 00:00Что свои сервера дешевле - это только кажется. Проблема в том, что если вам нужно развернуть отказоустойчивый кластер kubernetes, распределенную СУБД, настроить мониторинг и т.д. для этого нужны узкоспециализированные и дорогие специалисты. И это намного дороже облака где уже все сложное работает "из коробки". Но если у вас "монолит", то да - аренда bare-metal будет сильно дешевле.
PuerteMuerte
00.00.0000 00:00+1Проблема в том, что если вам нужно развернуть отказоустойчивый кластер kubernetes, распределенную СУБД, настроить мониторинг и т.д. для этого нужны узкоспециализированные и дорогие специалисты.
… которые вам точно так же понадобятся и просто для эксплуатации сего добра в облаке :)
artemlight
00.00.0000 00:00+3Остаётся только один вопрос - а где он брал уникальные номера карт для этих аккаунтов, и каким образом он их валидировал?
У меня триал GCP не принимает даже вполне себе валидный one-time Revolut Virtual - чует, что препейд, и просит "настоящую" карту. А их не напасешься, поэтому даже второй аккаунт не дали создать - пришлось отдавать честно заработанный доллар за поиграться. Миллион же таких аккаунтов, да с верификацией карт - стоит явно дороже запрошенных 50к.
В общем, похоже на байку.
DMGarikk
00.00.0000 00:00+2а где он брал уникальные номера карт для этих аккаунтов
в даркнете вроде кредитки продают за десяток долларов-мешок
vitaly_il1
00.00.0000 00:00+3Эта байка уже была здесь. Если не путаю, автор уже признался что он это узнал от "приятеля одного сисадмина, который ...".
короче, не для Хабра, ИМХО.
holodoz
00.00.0000 00:00+13Как загадочный автор снизил затраты на разработку контента на 90%, а потом исчез
koil
00.00.0000 00:00+4Есть определенные сомнения в правдивости истории. Если человек смог написать такое расширение для Chrome значит у него очень глубокие знания GCP API. Ведь надо не просто создать аккаунт, а активировать его, создать ресурсы, запустить нагрузку и выгрузить результат. Такой человек вполне легально мог бы оптимизировать затраты компаний на облачную инфраструктуру и зарабатывать шестизначные суммы даже просто автоматизируя работу devops команды. И он врядле бы стал рисковать репутацией ради 50 тысяч.
Areso
00.00.0000 00:00+20Напомнило старый анекдот начала 90-ых, могу чуточку переврать:
Автосалон, французы показывают свою новую машину (Пежо) и хвастаются антиугонкой. Подходит невзрачный мужичок средних лет, и говорит, мол, интересно, можно я вашу сигналку протестирую? Французы переглянулись, мол, почему нет. Мужичок сигналку взломал за 2 минуты и говорит: ребята, фуфло ваша сигналка, любой инженер взломает за 3 минуты. Французы переглянулись и спрашивают: а зачем инженерам взламывать сигналки? У них же и без того хорошие зарплаты!
Какую вижу мораль в анекдоте: ситуации в жизни разные бывают, бывают, что и инженеры либо сами взламывают, либо делают инструменты для взлома. Особенно, если у них нет паспорта первого мира.
iamkisly
00.00.0000 00:00+1Я думаю, что вы приувеличиваете значение репутации. Если имя разработчика не представляет собой личный бренд, то ваша репутация никому не интересна.. ее просто нет, а вы имеете определенный послужной список и достижения.
koil
00.00.0000 00:00Личный бренд тут не при чем. Это обычное явление, когда при найме рекрутеры ищут доступную информацию по кандидату. Если они при этом найдут такую информацию, как в статье, то это явно не сыграет в его пользу. Тем более если речь идет о высокооплачиваемой позиции, а не аникейщик в институт стали и сплавов.
MountainGoat
00.00.0000 00:00-1Вы не представляете до какой глубины в узкой нише может докопаться целеустремлённый студент. Но его всё равно никуда не возьмут, потому что у него бумажки нет, и опыта работы тоже.
JPEGEC
00.00.0000 00:00+3Почти год назад с директором по ИТ моего клиента связался
фриланс-разработчик, заявивший, что поможет сэкономить 90% от затрат на
облачные сервисы.Одному мне любопытно откуда фриланс разработчик узнал как и сколько контора тратит денег?
Areso
00.00.0000 00:00Про AWS могло быть написано в вакансиях или в профилях на Линке текущих пользователей.
Сделать "прикидку" к носу можно исходя из профиля компании и её размеров.
akakoychenko
00.00.0000 00:00+1Скорее всего, инсайд таки имел, раз знал, что
а) расширение хрома выполняет важную задачу и может выполнять бизнес логику
б) затраты идут на разовые запуски, для которых некритична потеря данных
Если бы этих пунктов не было, то финт бы не сработал. К примеру, если б они собирали все в кучу в каком-нибудь редшифте, и его силами б считали фичи на всей выборке, и это б составляло хоть 11% затрат, то фокус бы не удался
Stas911
00.00.0000 00:00+1Если клиент такой жирный, то у него есть AWS Enterprise Support и выделенный TAM (tech account manager) одна из задач которого помогать клиенту снизить затраты на облако, для чего у него есть специальные инструменты и доступ к спецам, которые на этом собаку съели. Имхо история выдуманная.
mayorovp
00.00.0000 00:00Так задача-то заключалась в выполнении разовых расчётов в облаке. Вот буквально есть исходные данные (у пользователя, не у фирмы!), если скрипты которые их обрабатывают (эти уже у фирмы), надо эти скрипты где-то запустить, показать пользователю результат и забыть.
Что тут можно принципиально оптимизировать, кроме как поставить своё железо в подвале?
Не, можно конечно же скрипты переписать на что-то более производительное, но этим точно не техподдержка заниматься будет. Да и реверс-инжиниринг скриптов на перле по стоимости легко перегонит покупку железа в подвал...
Dmitri-D
00.00.0000 00:00Inference инстансы могут стоить дорого, но что мешает объединять запросы в батчи, хранить пока не соберется достаточно, и запускать endpoints по мере готовности, а в паузах гасить? Это может легко снизить затраты в разы. Второе, зачем использовать AI aws service, если можно поднимать свои docker контейнеры с +той же+ моделью и существенно дешевле, при такой же мощности?
Proydemte
00.00.0000 00:00Там же ещё спот цены есть, если нету жёстких требований по времени, то вполне можно попробовать. Посмотрел, прямо сейчас цена на спот -70% и вероятность прерывания меньше 5%.
Если можно промежуточные результаты сохранять, вообще no brainer.
eurol
00.00.0000 00:00+1А мне почему-то при прочтении заголовка вспомнилась шутка про человека, который устроился на работу в компанию, разрабатывающую ПО, исправил один баг и уволился.
beckonlisp
00.00.0000 00:00Дьявол, как говорится, в деталях.
-
NDA обычно покрывает не только фигурантов контракта но и предметную область. Т.е. мне трудно представить как в рамках стандартного договора можно писать в твиттере детали проекта.
-
Выше уже написали, чтобы использовать GCP нужно прикрепить кредитку к биллингу (Кстати, то же самое верно и для других облаков: AWS, Azure, Oracle Cloud итд). Поверить в файл accounts.yaml "содержавший примерно 1 миллион аккаунтов Google" — довольно трудно. На форумах действительно продают пачками аккаунты Google (очевидно для спамеров), но к ним никогда в комплекте не идет кредитка и активная GCP.
-
Если копнуть чуть глубже в механизм аутентификации GCP, то злоумышленнику наверное нужны были не сами учетки, а т.н. ключи или же по каждой учетке по oauth2 авторизоваться, чтобы добыть ключи. Т.е. даже если у нас есть мифический файл с миллином аккаунтов, на моменте входа в 5-6 аккаунт Google начнет требовать ввод капчи, блокировать ip итд.
-
Вообще непонятно зачем автору потребовался миллион аккаунтов, когда можно было и на одной (!) учетке сделать тоже самое. Т.е. грубо говоря, купить на хак-форуме одну (!) угнанную учетку GCP, и вот все эти черные дела сделать на одной (!) учетке.
К примеру, у меня был случай года 2 назад — у одного из клиентов в какой-то момент обнаружился в биллинге запросов в Google Maps на 50.000 евро, а у них ни один сервис в Google Maps не использовал. Как потом выяснилось, у глав. разраба украли токен через npm (установил какую-то ересь на рабочий комп из npm и она угнала токен-файл). Обнаружили в биллинге аномалию случайно, могли и год не замечать.
-
И вот чтобы совсем добить тему миллиона аккаунтов — не буду рекламировать, но точно знаю один рабочий сервис, который предлагает аккаунты AWS с балансом (т.н. кредитом) $100.000 всего за $2.000 — это очень известное предложение, оно рекламируется не на "хак"-форумов, и люди которые занимаются облаками с этим предложемнием прекрасно знакомы. Это противоречит правилам AWS и долго такой аккаунт не живет, но работать работает.
-
Что касается цены, то обычно когда AWS используют люди которые только-только перешли с on-premise — то они строят на облаках не так эффективно. Поэтому есть куча случаев, когда в проект приглашают какого-нибудь Solutions Architect, который, грубо говоря, настраивает auto scaling groups и делает проекту экономию 30-40%. Когда я прочитал заголовок, то думал что прочту еще одну подобную историю, а не все вот это. Миллион аккаунтов гугл-клауда.
mayorovp
00.00.0000 00:00+1Вообще непонятно зачем автору потребовался миллион аккаунтов, когда можно было и на одной (!) учетке сделать тоже самое.
Я так понимаю, на одной учётке нужны деньги, пусть и чужие. И если начинать воровать их — тут могут и органы возбудиться. Если же использовать бесплатный триал — состав преступления найти труднее, пострадавшая сторона тут только гугл.
nidalee
00.00.0000 00:00Т.е. даже если у нас есть мифический файл с миллином аккаунтов, на моменте входа в 5-6 аккаунт Google начнет требовать ввод капчи, блокировать ip итд.
Разве вся соль была не в том, что через дополнение браузера эти механизмы не работали?Это было возможно только благодаря… расширению Chrome, которое не позволяло сработать проверке безопасности Google и отказать в создании аккаунта.
-
zergon321
00.00.0000 00:00С другой стороны, если бы эта компания продолжила делать то, что им показал этот чел, т.е. абузить триальные аккаунты GCP и перераспределять нагрузку на них, при этом создавать новые по истечении триала старых, то компания сможет сократить свои расходы навсегда
ArkadiyShuvaev
00.00.0000 00:00На самом то деле, на триале доступны микроинстансы с лимитом в 720 часов/месяц только.
При создании триального аккаунта нужно вводить номер карты для того, чтобы нагрузка сверх лимита оплачивалась по результатам потребления.
Т.е. не выйдет создать 100 триальных аккаунтов, т.к. микроинстансы не подойдут для расчета ML/AI.
Skynet2034
00.00.0000 00:00Ну, с чисто финансовой точки зрения компания все равно в плюсе осталась. С "экономией" 90к/месяц - затраты на "специалиста" они меньше чем за месяц отбили :). Главное теперь иски за использование левых аккаунтов не словить.
Tarnella
Напомнило историю про кудесника, который продал фальшивомонетчикам машинку по печатанью баксов. Купюры были настолько хороши, что проходили все проверки. Кудесник продал машинку за 100к баксов и исчез. Машинка проработала пару дней и прекратила. Ее разобрали, оказалось что создатель загрузил туда 10к баксов настоящих купюр, бумага, которую туда подавали для якобы печатанья складывалась во внутренний бункер, а машинка просто отдавала настоящие купюры. Пока не кончились.
spirit1984
Я даже нашел, где это впервые описано в литературе:
(с) Аквариум. Виктор Суворов.
Popadanec
zoroda
Сейчас все продают. А в свое советское детство приходилось своими руками такое устройство делать.
Кассирша в столовой, помнится, сильно напрягалась когда я расплачивался рублем из такой машинки
click0
Я впервые увидел описание подобного устройства в "Юном технике".
dimas
Это было сильно раньше описано, в какой-то детской книжке, еще бы название вспомнить ...
О, нашел - "Тельняшка - моряцкая рубашка", Ефетов Марк Семенович
https://m.tululu.org/bread_12309_22.xhtml
izogfif
del
andersong
А мне напомнило историю, как дачник попросил газовиков, прокладывающих недалеко газопровод высокого давления, подключить ему газ по дешевке, ему подключили, а через время газ перестал идти. Мужик вызвал газовиков, те стали копать по трубе и выкопали газовый баллон.
DMGarikk
У нас похожая история была в городе когда микрорайон сдавали, разве что это было не мошенничество, а очковтирательство и потемкинские деревни
ленточка, губернатор, мэр, оркестр, открытие новых домов, газовое отопление, плиты, фотки включенной газовой плиты, фотки радостных новых жильцов (получивших дома по социалке)
проблема в том что газ до микрорайоне дотянули только через полгода (к осени), а чтобы сделать торжественное открытие, к газопроводу на вводе прицепили баллон с газом
Layan
Fake it till you make it