V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Linode 各机房速度测试
http://www.linode.com/speedtest/
lichao
V2EX  ›  Linode

linode 被攻破,所有信用卡信息泄漏?

  •  
  •   lichao · 2013-04-16 06:26:31 +08:00 via Android · 5022 次点击
    这是一个创建于 4221 天前的主题,其中的信息可能已经有所发展或是发生改变。
    34 条回复    1970-01-01 08:00:00 +08:00
    dndx
        1
    dndx  
       2013-04-16 06:28:48 +08:00
    这下有戏了,看 Linode 怎么解释吧。
    dndx
        2
    dndx  
       2013-04-16 07:02:21 +08:00
    另外如果黑客所言属实,那么 Linode "We have found no evidence that any Linode data of any other customer was accessed." 的 claim 就成笑话了。
    wzzyj8
        3
    wzzyj8  
       2013-04-16 07:39:21 +08:00
    05:42 < ryan||> credit cards were encrypted, sadly both the private and public keys were stored on the webserver so that provides 0 additional security
    source: http://turtle.dereferenced.org/~nenolod/linode/linode-abridged.txt

    这句话对Linode的指控可是重罪呢。
    dndx
        4
    dndx  
       2013-04-16 07:41:53 +08:00
    @wzzyj8 话说 Linode 竟然用的 ColdFusion ,长见识了。
    iloveyou
        5
    iloveyou  
       2013-04-16 07:59:50 +08:00
    晕,我买过怎么办?要不要申请把卡先冻结?
    wzzyj8
        6
    wzzyj8  
       2013-04-16 08:12:00 +08:00
    @dndx Frontpage党路过。我大Frontpage经典bootsrtap案例 http://divshot.github.io/geo-bootstrap/
    TONYHEAD
        7
    TONYHEAD  
       2013-04-16 08:14:29 +08:00
    @wzzyj8 wow... I miss the old day of internet...
    wzzyj8
        8
    wzzyj8  
       2013-04-16 08:19:28 +08:00
    @iloveyou 目前信息泄露的真假未知,我其实主观的觉得linode应该不至于这么低级的做这种伪加密的事情。因为如果信用卡信息泄漏为真且个人信息加密无效为真,如果我是黑客的话,直接公布部分信用卡信息截图会更有吸引力和说服力。看slashdot很久了,slashdot并不是一个传统的新闻源 ,他们不会帮你筛选信息的真假,更多的只是给你信息,让你自己去判断。 如果真的担心的话,保险起见,暂时关闭脱机支付通道呗。
    laoyuan
        9
    laoyuan  
       2013-04-16 08:58:12 +08:00
    弱弱的问一句,那个csv码linode也存了么?付款的时候没那个码好像不能付吧。。。
    GASALA
        10
    GASALA  
       2013-04-16 09:02:36 +08:00
    还是用财付通虚拟卡放心。
    painter
        11
    painter  
       2013-04-16 09:32:54 +08:00   ❤️ 1
    @GASALA 这个是个什么原理 为啥放心呢?
    tomyiyun
        12
    tomyiyun  
       2013-04-16 09:58:52 +08:00 via iPad
    @laoyuan 只有卡号地址姓名到期时间好像也能扣款
    darcy
        13
    darcy  
       2013-04-16 10:00:23 +08:00
    @laoyuan 国外一些收款方不需要CV码也可以支付成功
    v8ex
        14
    v8ex  
       2013-04-16 10:02:58 +08:00
    不需要cv码也可以支付的,关注ing...
    arbow
        15
    arbow  
       2013-04-16 11:03:53 +08:00
    悲摧,太不重视数据安全了
    TigerS
        16
    TigerS  
       2013-04-16 11:06:35 +08:00
    不觉得Linode作为现在全球最火热的VPS提供商会犯这种不加密信用卡资料的问题, 而且一个人的说法并不能有什么作为,所谓的Database并没有看出来什么有用的东西, 而那两个人的对话也算是没有多大用处的。 不必慌张
    arbow
        17
    arbow  
       2013-04-16 11:08:31 +08:00
    @TigerS 信用卡资料是有加密的,只是密钥跟公钥都被拿了
    Kymair
        18
    Kymair  
       2013-04-16 11:32:30 +08:00
    此时此刻我还是更相信Linode一些,那几个链接里给出的证据并没什么说服力。
    当然这只是感觉而已,事实还得等候。

    Linode可是经历过Google事件,BitCoin事件等好几次大的安全事故,很难相信它会做“把公钥私钥放在一起”的事情。

    虽然我非常不喜欢阴谋论… 但是结合最近Linode史无前例的大升级来看,唔…
    arbow
        19
    arbow  
       2013-04-16 11:37:46 +08:00
    客服答复:Thank you for contacting us. We have found no evidence that payment information of any customer has been accessed. Our management is working on an updated official statement, and we'll have that released as soon as possible. If we can be of any further assistance, please let us know.
    cyberscorpio
        20
    cyberscorpio  
       2013-04-16 11:37:49 +08:00
    linode 最近加带宽,加内存,估计是得罪了不少同行。
    有人要搞它了。
    jasontse
        21
    jasontse  
       2013-04-16 11:51:10 +08:00 via iPad
    平时是无效卡 只有续费的时候会去改
    ranye
        22
    ranye  
       2013-04-16 12:01:33 +08:00   ❤️ 1
    @painter 财付通的虚拟信用卡就相当于一张 debit card, 你账户里有多少钱信用卡的限额就是多少,所以只需要保持财付通账户余额很低,需要时再充钱这个卡就基本很安全
    TigerS
        23
    TigerS  
       2013-04-16 12:08:08 +08:00
    @arbow 这个有点二逼了
    Shane
        24
    Shane  
       2013-04-16 12:19:36 +08:00
    目前有人有卡被盗刷的情况出现吗。。。
    arbow
        25
    arbow  
       2013-04-16 12:28:52 +08:00
    @ranye 这个虚拟信用卡好像不错的样子,适合支付国外服务
    codenamea
        26
    codenamea  
       2013-04-16 13:54:43 +08:00
    我有一个疑问就是,这么大的事情如果是真的,Linode官方为什么没有正式的说明和通知?
    laoyu
        27
    laoyu  
       2013-04-16 14:27:12 +08:00
    机器攻破了也不会有太大影响,估计都是Hash,Linode那么那公司不可能没有没有自己的算法。
    Livid
        28
    Livid  
    MOD
       2013-04-16 14:29:12 +08:00
    这个世界,有大进展的事情,就准备好要遇到大攻击。
    GASALA
        29
    GASALA  
       2013-04-16 14:53:11 +08:00   ❤️ 1
    @painter 用虚拟卡购买,用时就充进去,不要留余额。
    painter
        30
    painter  
       2013-04-16 15:12:41 +08:00
    @ranye @GASALA 感谢已发
    SonicXP
        31
    SonicXP  
       2013-04-16 16:29:28 +08:00
    hutushen222
        32
    hutushen222  
       2013-04-16 17:07:10 +08:00
    @SonicXP 还是不知道是否要换卡,同事已经剪卡重换了。
    SonicXP
        33
    SonicXP  
       2013-04-16 17:22:49 +08:00
    @hutushen222 看声明感觉是信用卡的加密信息和private key都被盗了,不知道private key的passphrase会不会被暴力破解出来,还是换掉比较安心
    dndx
        34
    dndx  
       2013-04-17 01:45:28 +08:00
    感觉此事不靠谱之处在于 Linode 在被攻击后无法准确确定信息泄漏的范围。如果黑客不公开,那岂不是所有人都还认为自己的信息很“安全”?黑客 grab 走成千上万的信用卡信息绝不是小动作,Linode 事后调查时竟没有一点察觉?

    Linode 或许投入在安全上的精力少了点,只顾着赚钱了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2626 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 15:32 · PVG 23:32 · LAX 07:32 · JFK 10:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.