V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Livid
V2EX  ›  Amazon Web Services

有人不小心把自己的 S3 API Key 放进 GitHub,然后被盗用之后收到一张 $2375 的账单

  •  
  •   Livid · 2014-12-31 14:37:14 +08:00 · 9011 次点击
    这是一个创建于 3626 天前的主题,其中的信息可能已经有所发展或是发生改变。
    26 条回复    2015-01-01 11:55:31 +08:00
    Sunnyyoung
        1
    Sunnyyoung  
       2014-12-31 14:50:59 +08:00
    我以为是你= =
    hging
        2
    hging  
       2014-12-31 14:52:29 +08:00
    被盗取用来挖比特币 . 也是蛮牛的.
    glasslion
        3
    glasslion  
       2014-12-31 14:54:04 +08:00
    只能说是自己做死。盗用是在他发现 API Key被误提交后发生的。 他把提交的信息删了就以为没事了。重置下API Key 有那么难吗
    xw
        4
    xw  
       2014-12-31 14:54:31 +08:00
    。。。看来要注意下了。。
    lemonda
        5
    lemonda  
       2014-12-31 14:58:19 +08:00
    LINAICAI
        6
    LINAICAI  
       2014-12-31 15:13:49 +08:00
    刚好一部MBP
    Kilerd
        7
    Kilerd  
       2014-12-31 15:15:00 +08:00 via Android
    我也以为是你
    HowardMei
        8
    HowardMei  
       2014-12-31 15:31:00 +08:00
    菜鸟级错误,早就不应该用root credentials操作,iam roles能指定详细权限。我把s3上传专用的帐号,连list功能都禁了,非机密文件只通过明确地址,公开文件只通过cloudfront

    虽然amazon迟迟不推出billing cap功能挺鸡贼的,但权限分开,让容易泄漏的帐号无权创建ec2 instance是可以堵住这个陷阱的。
    mahone3297
        9
    mahone3297  
       2014-12-31 16:03:38 +08:00
    别人知道了api key,怎么盗用?买东西?
    9hills
        10
    9hills  
       2014-12-31 16:12:29 +08:00
    @mahone3297 用ECS的GPU Instances 挖矿。。
    9hills
        11
    9hills  
       2014-12-31 16:13:25 +08:00
    EC2。。写错了
    xoxo
        12
    xoxo  
       2014-12-31 16:14:27 +08:00
    论 .gitignore 的重要性
    hcymk2
        13
    hcymk2  
       2014-12-31 16:18:01 +08:00
    @mahone3297
    When I woke up the next morning, I had four emails from Amazon AWS and a missed phone call from Amazon AWS. Something about 140 servers running on my AWS account
    greatghoul
        14
    greatghoul  
       2014-12-31 16:18:29 +08:00
    这也太惨了。
    liubin
        15
    liubin  
       2014-12-31 16:29:05 +08:00
    论先充值的好处。
    xierch
        16
    xierch  
       2014-12-31 17:24:15 +08:00
    > Amazon was kind enough to drop the charges this time…
    lightening
        17
    lightening  
       2014-12-31 17:39:22 +08:00 via iPhone
    这个可以申请退款的。
    shajiquan
        18
    shajiquan  
       2014-12-31 18:39:42 +08:00
    好惨……
    imlonghao
        19
    imlonghao  
       2014-12-31 19:03:03 +08:00
    virusdefender
        20
    virusdefender  
       2014-12-31 19:07:12 +08:00   ❤️ 1
    hjc4869
        21
    hjc4869  
       2014-12-31 19:13:01 +08:00
    @9hills GPU Instance是N卡吧,挖矿慢啊。。
    lsylsy2
        22
    lsylsy2  
       2014-12-31 19:28:57 +08:00
    @hjc4869 反正对盗号者来说是“免费”的……自然是随便挑个最快的了
    ETiV
        23
    ETiV  
       2014-12-31 19:31:41 +08:00 via iPhone
    之前也有过把sublime text的SFTP插件配置push到Github上,造成主机ssh密码泄漏的事儿……
    hcymk2
        24
    hcymk2  
       2014-12-31 19:33:30 +08:00
    imlonghao
        25
    imlonghao  
       2014-12-31 20:39:50 +08:00
    @virusdefender 我就说你的ID怎么那么熟悉 哈哈
    nooper
        26
    nooper  
       2015-01-01 11:55:31 +08:00
    我在代码里面都不会上传真实的id和key的。私有源也一样。尽量避免真实的id。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1041 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 20:02 · PVG 04:02 · LAX 12:02 · JFK 15:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.