有人不小心把自己的 S3 API Key 放进 GitHub,然后被盗用之后收到一张 $2375 的账单
Livid · 2014-12-31 14:37:14 +08:00 · 9006 次点击这是一个创建于 3614 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
Sunnyyoung 2014-12-31 14:50:59 +08:00
我以为是你= =
|
 |
2
hging 2014-12-31 14:52:29 +08:00
被盗取用来挖比特币 . 也是蛮牛的.
|
 |
3
glasslion 2014-12-31 14:54:04 +08:00
只能说是自己做死。盗用是在他发现 API Key被误提交后发生的。 他把提交的信息删了就以为没事了。重置下API Key 有那么难吗
|
 |
4
xw 2014-12-31 14:54:31 +08:00
。。。看来要注意下了。。
|
 |
5
lemonda 2014-12-31 14:58:19 +08:00
|
 |
6
LINAICAI 2014-12-31 15:13:49 +08:00
刚好一部MBP
|
 |
7
Kilerd 2014-12-31 15:15:00 +08:00 via Android
我也以为是你
|
 |
8
HowardMei 2014-12-31 15:31:00 +08:00
菜鸟级错误,早就不应该用root credentials操作,iam roles能指定详细权限。我把s3上传专用的帐号,连list功能都禁了,非机密文件只通过明确地址,公开文件只通过cloudfront
虽然amazon迟迟不推出billing cap功能挺鸡贼的,但权限分开,让容易泄漏的帐号无权创建ec2 instance是可以堵住这个陷阱的。 |
 |
9
mahone3297 2014-12-31 16:03:38 +08:00
别人知道了api key,怎么盗用?买东西?
|
 |
10
9hills 2014-12-31 16:12:29 +08:00
@mahone3297 用ECS的GPU Instances 挖矿。。
|
|
11
9hills 2014-12-31 16:13:25 +08:00
EC2。。写错了
|
 |
12
xoxo 2014-12-31 16:14:27 +08:00
论 .gitignore 的重要性
|
 |
13
hcymk2 2014-12-31 16:18:01 +08:00
@mahone3297
When I woke up the next morning, I had four emails from Amazon AWS and a missed phone call from Amazon AWS. Something about 140 servers running on my AWS account |
 |
14
greatghoul 2014-12-31 16:18:29 +08:00
这也太惨了。
|
 |
15
liubin 2014-12-31 16:29:05 +08:00
论先充值的好处。
|
 |
16
xierch 2014-12-31 17:24:15 +08:00
> Amazon was kind enough to drop the charges this time…
|
 |
17
lightening 2014-12-31 17:39:22 +08:00 via iPhone
这个可以申请退款的。
|
 |
18
shajiquan 2014-12-31 18:39:42 +08:00
好惨……
|
 |
19
imlonghao 2014-12-31 19:03:03 +08:00
|
 |
20
virusdefender 2014-12-31 19:07:12 +08:00  1
|
 |
23
ETiV 2014-12-31 19:31:41 +08:00 via iPhone
之前也有过把sublime text的SFTP插件配置push到Github上,造成主机ssh密码泄漏的事儿……
|
|
24
hcymk2 2014-12-31 19:33:30 +08:00
|
|
25
imlonghao 2014-12-31 20:39:50 +08:00
@virusdefender 我就说你的ID怎么那么熟悉 哈哈
|
 |
26
nooper 2015-01-01 11:55:31 +08:00
我在代码里面都不会上传真实的id和key的。私有源也一样。尽量避免真实的id。
|
Select Language