Linode 的最新声明

38 条回复 • 1970-01-01 08:00:00 +08:00

1

Kymair

2013-04-16 16:15:06 +08:00

等Infra升级忙完了，Linode下一步最好着手从ColdFusion迁移到其他的平台。

老实说我一点也不懂ColdFusion, 但这种由单一公司把持，又不是很大众化，甚至说有点过时的平台，更容易受这种zero-day vulnerability的侵害。

如果没记错的话，当初Google被侵入的时候，黑客最开始借助的也是Adobe Reader之类软件的漏洞。再想想iPhone在线一键jailbreak所利用的PDF漏洞，唔...

2

lichao

OP

2013-04-16 16:19:34 +08:00

@Kymair 这个迁移是个大工程

3

clippit

2013-04-16 17:12:43 +08:00

The private key is itself encrypted with passphrase encryption and the passphrase is not stored electronically.
所以说信用卡数据即使俩密钥都泄漏，没有passphrase依然不能破解。如果Linode写在公司保险柜里某张纸上的passphrase足够复杂，可以说信用卡数据仍然是安全的。

4

ritksm

2013-04-16 17:18:59 +08:00

唉

5

arbow

2013-04-16 17:38:05 +08:00

把安全性寄托在passphrase有没被破解是不保险的，估计大多数人都会选择换卡了

6

niaoren

2013-04-16 17:48:25 +08:00

我选择不挂失不换卡。

7

luikore

2013-04-16 18:15:49 +08:00

passphrase 就不要依靠了, 何况背后的利益这么多(linode 还跑出来打包票, 不少用户还真信了没去换卡), 黑客临时进一匹设备去爆破都值得...

刚发问题问了 linode 客服, 值得庆幸的是 CVV 没有保存在数据库里, 定时扣款是通过 token 来续费的. 另外确认了其他私人信息如邮箱地址姓名等都是明文存在同一个数据库的 ...

8

wujiangcheng

2013-04-16 18:18:33 +08:00

选择换卡，即使passphrase够复杂，也只是时间问题

9

duoglas

2013-04-16 18:35:30 +08:00

总之信用卡挂失更换完毕~

10

chinshou

2013-04-16 18:39:47 +08:00

我只是奇怪他们怎么自动加密信用卡信息，在不保存passphrase的情况下？莫非每次手动输入passphrase？

11

asher

2013-04-16 19:06:52 +08:00

等被盗了再来挂失换卡。。╮(╯▽╰)╭

12

swulling

2013-04-16 19:14:13 +08:00

@loveminds @chengxiao

这个事件算是对前几天你们在另一个「linode好像今天多扣了我一个月的费用」里的回应。。

商家拥有自动扣款的权力，就代表这个商家一旦泄露你的信息，就麻烦了。

加入linode采用支付宝支付，黑客顶多拿到你的支付宝账号，有用么

13

chinshou

2013-04-16 19:19:34 +08:00

@luikore
信用卡商家禁止保存cvv的，一旦保存，会被罚一大笔钱的。
http://www.webhostingtalk.com/showthread.php?t=715198

14

Livid

MOD

2013-04-16 19:21:36 +08:00

@swulling 话说，你提醒我了，那么这个奇怪的扣款事件和入侵有没有关系呢？

15

orzfly

2013-04-16 19:30:04 +08:00

@chinshou 不是只要有公钥就能加密了么？

16

chinshou

2013-04-16 19:32:50 +08:00

@orzfly
加密是用私钥，解密是用公钥吧？

17

painter

2013-04-16 19:49:27 +08:00

@swulling 现在还敢买linode的vps嘛？

18

chinshou

2013-04-16 19:59:25 +08:00

@orzfly
http://blog.linode.com/2013/04/16/security-incident-update/#comments
看上去，理解跟我的不一样，用公钥加密，用私钥解密，估计解密用passphrase是存在内存中，比如putty agent之类的东西里面。

每个月扣款的时候才会用一次私钥。但是还是很难理解linode这么业余，为啥要把私钥保存在服务器，为啥不用一个usb的key保存私钥？

19

sobigfish

2013-04-16 20:08:21 +08:00

-.- 我才开的个几乎啥都没有呢，tail /var/log/auth.log 发现不少尝试

@luikore 我支付的时候没填cvv 一样正常扣款了啊

20

iZr

2013-04-16 20:46:23 +08:00

放弃LINODE了.

21

Kymair

2013-04-16 21:29:46 +08:00

依旧支持Linode ;-)
说句老实话，因为怎么说呢，唉，上次PSN泄露千万级信用卡信息，已经让我觉得，除了自己注意安全，按时检查账单，几乎没有什么云是绝对安全的了。
这次Linode被入侵，当然我是很失望，但是看起来他们的安全级别还算足够高了。

22

chinshou

2013-04-16 21:50:15 +08:00

@Kymair
他们将公钥和私钥放在一个服务器上，这也能叫安全，从日志上来看，他们的机器被劫持了好几周。很难让人相信passphrase没有被盗取。

另外lish的密码是明文，这跟CSDN的水平有一拼

23

loveminds

2013-04-16 22:49:49 +08:00

@swulling 他们不使用支付宝，就算使用网关的话也通常是Paypal/Payza
第三方支付平台不是白做的,他们也要从交易中抽成
那么这笔多出来的成本也就只好转嫁给客户了

24

summic

2013-04-16 22:58:11 +08:00 via iPhone

今天中午已经要求冻结掉了我的卡

25

swulling

2013-04-17 03:30:26 +08:00

@loveminds paypal不如支付宝好用。我并不是说建议linode用支付宝，而是说整个信用卡网上支付的环境就不太好，缺失签名验证后，信用卡诈骗实在太猖獗了。

第三方支付是要抽成，国内支付宝和财付通都是抽1%，商户量越大越少。这点成本比起信用卡信息泄露的风险还是相当可以接受的。ls还有人去换卡，这都是时间和精力的成本。

26

swulling

2013-04-17 03:33:53 +08:00

@loveminds 总之就是一个信任度的问题，你是否相信电脑那边的服务商会妥善保存你的信用卡信息

从linode和psn等事件来看，这个信任度是很低的

27

breestealth

2013-04-17 09:22:11 +08:00

@chinshou
@luikore
某些场合，不用CVV就能扣款的。

28

rhwood

2013-04-17 09:27:31 +08:00

linode无疑是被泄露了，正在认真考虑挂失信用卡。

29

Kymair

2013-04-17 09:58:14 +08:00

我无意为Linode开脱，当然谨慎些，现在挂失信用卡，也坏不到哪去。

只是这件事件，黑客能利用ColdFusion的0-day漏洞，然后从一台web server开始一直拿到数据库里的数据。他们的目的是信用卡吗？恐怕不是。信用卡诈骗是比较常见和初级的行为，我不觉得黑客的目的在此。

换句话说，自从上次CSDN大规模泄密之后，我真的是相信我的信用卡及不少密码早就已经暴露了外了。它现在没事，只是因为还没人对它感兴趣而已，因为它淹没在海量的其他也已经暴露的数据里。

Linode这次确实做的不好，但我相信他们会大幅度的加强安全措施。