1
Kymair 2013-04-16 16:15:06 +08:00
等Infra升级忙完了,Linode下一步最好着手从ColdFusion迁移到其他的平台。
老实说我一点也不懂ColdFusion, 但这种由单一公司把持,又不是很大众化,甚至说有点过时的平台,更容易受这种zero-day vulnerability的侵害。 如果没记错的话,当初Google被侵入的时候,黑客最开始借助的也是Adobe Reader之类软件的漏洞。再想想iPhone在线一键jailbreak所利用的PDF漏洞,唔... |
3
clippit 2013-04-16 17:12:43 +08:00
The private key is itself encrypted with passphrase encryption and the passphrase is not stored electronically.
所以说信用卡数据即使俩密钥都泄漏,没有passphrase依然不能破解。如果Linode写在公司保险柜里某张纸上的passphrase足够复杂,可以说信用卡数据仍然是安全的。 |
4
ritksm 2013-04-16 17:18:59 +08:00
唉
|
5
arbow 2013-04-16 17:38:05 +08:00
把安全性寄托在passphrase有没被破解是不保险的,估计大多数人都会选择换卡了
|
6
niaoren 2013-04-16 17:48:25 +08:00
我选择不挂失不换卡。
|
7
luikore 2013-04-16 18:15:49 +08:00
passphrase 就不要依靠了, 何况背后的利益这么多(linode 还跑出来打包票, 不少用户还真信了没去换卡), 黑客临时进一匹设备去爆破都值得...
刚发问题问了 linode 客服, 值得庆幸的是 CVV 没有保存在数据库里, 定时扣款是通过 token 来续费的. 另外确认了其他私人信息如邮箱地址姓名等都是明文存在同一个数据库的 ... |
8
wujiangcheng 2013-04-16 18:18:33 +08:00
选择换卡,即使passphrase够复杂,也只是时间问题
|
9
duoglas 2013-04-16 18:35:30 +08:00
总之信用卡挂失更换完毕~
|
10
chinshou 2013-04-16 18:39:47 +08:00
我只是奇怪他们怎么自动加密信用卡信息,在不保存passphrase的情况下?莫非每次手动输入passphrase?
|
11
asher 2013-04-16 19:06:52 +08:00
等被盗了再来挂失换卡。。╮(╯▽╰)╭
|
12
swulling 2013-04-16 19:14:13 +08:00
|
13
chinshou 2013-04-16 19:19:34 +08:00
|
18
chinshou 2013-04-16 19:59:25 +08:00
@orzfly
http://blog.linode.com/2013/04/16/security-incident-update/#comments 看上去,理解跟我的不一样,用公钥加密,用私钥解密,估计解密用passphrase是存在内存中,比如putty agent之类的东西里面。 每个月扣款的时候才会用一次私钥。但是还是很难理解linode这么业余,为啥要把私钥保存在服务器,为啥不用一个usb的key保存私钥? |
19
sobigfish 2013-04-16 20:08:21 +08:00
|
20
iZr 2013-04-16 20:46:23 +08:00
放弃LINODE了.
|
21
Kymair 2013-04-16 21:29:46 +08:00
依旧支持Linode ;-)
说句老实话,因为怎么说呢,唉,上次PSN泄露千万级信用卡信息,已经让我觉得,除了自己注意安全,按时检查账单,几乎没有什么云是绝对安全的了。 这次Linode被入侵,当然我是很失望,但是看起来他们的安全级别还算足够高了。 |
22
chinshou 2013-04-16 21:50:15 +08:00
|
23
loveminds 2013-04-16 22:49:49 +08:00
|
24
summic 2013-04-16 22:58:11 +08:00 via iPhone
今天中午已经要求冻结掉了我的卡
|
25
swulling 2013-04-17 03:30:26 +08:00
@loveminds paypal不如支付宝好用。我并不是说建议linode用支付宝,而是说整个信用卡网上支付的环境就不太好,缺失签名验证后,信用卡诈骗实在太猖獗了。
第三方支付是要抽成,国内支付宝和财付通都是抽1%,商户量越大越少。这点成本比起信用卡信息泄露的风险还是相当可以接受的。ls还有人去换卡,这都是时间和精力的成本。 |
26
swulling 2013-04-17 03:33:53 +08:00
|
27
breestealth 2013-04-17 09:22:11 +08:00
|
28
rhwood 2013-04-17 09:27:31 +08:00
linode无疑是被泄露了,正在认真考虑挂失信用卡。
|
29
Kymair 2013-04-17 09:58:14 +08:00
我无意为Linode开脱,当然谨慎些,现在挂失信用卡,也坏不到哪去。
只是这件事件,黑客能利用ColdFusion的0-day漏洞,然后从一台web server开始一直拿到数据库里的数据。他们的目的是信用卡吗?恐怕不是。信用卡诈骗是比较常见和初级的行为,我不觉得黑客的目的在此。 换句话说,自从上次CSDN大规模泄密之后,我真的是相信我的信用卡及不少密码早就已经暴露了外了。它现在没事,只是因为还没人对它感兴趣而已,因为它淹没在海量的其他也已经暴露的数据里。 Linode这次确实做的不好,但我相信他们会大幅度的加强安全措施。 |
30
olnyshe 2013-04-17 10:10:12 +08:00
http://www.freebuf.com/news/8722.html
黑客声称已取得Linode所有信用卡信息,并公开了代码片段和服务器目录 |
31
Kymair 2013-04-17 10:40:12 +08:00
读完了楼上的聊天记录 黑客还谈到了对BitCoins的看法,哈哈
|
32
KiseXu 2013-04-17 11:57:10 +08:00 via iPad
我在linode没有输cvv也能完成扣款
|
33
xdata 2013-04-17 12:23:05 +08:00
不知道linode有没有保存包括信用卡信息在内的完整历史交易记录?
我都是习惯扣费成功后立刻改16个0... |
35
yufenglx 2013-04-17 15:15:43 +08:00
我发现现在日本节点延迟在45,46毫秒左右 太给力了~
|
37
burnex 2013-04-19 10:57:20 +08:00
感觉速度还行
|
38
qq286735628 2013-04-19 12:19:58 +08:00
国内的信用卡,可以办理关闭网上交易的功能啊~
要用的时候才打开,不用就关了~ |