有人不小心把自己的 S3 API Key 放进 GitHub,然后被盗用之后收到一张 $2375 的账单
LividPRO
这是一个创建于 4004 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 Sunnyyoung 2014-12-31 14:50:59 +08:00 我以为是你= = |
 | 2 hging 2014-12-31 14:52:29 +08:00 被盗取用来挖比特币 . 也是蛮牛的. |
 | 3 glasslion 2014-12-31 14:54:04 +08:00 只能说是自己做死。盗用是在他发现 API Key被误提交后发生的。 他把提交的信息删了就以为没事了。重置下API Key 有那么难吗 |
 | 4 xw 2014-12-31 14:54:31 +08:00 。。。看来要注意下了。。 |
 | 5 lemonda 2014-12-31 14:58:19 +08:00 |
 | 6 LINAICAI 2014-12-31 15:13:49 +08:00 刚好一部MBP |
 | 7 Kilerd 2014-12-31 15:15:00 +08:00 via Android 我也以为是你 |
 | 8 HowardMei 2014-12-31 15:31:00 +08:00 菜鸟级错误,早就不应该用root credentials操作,iam roles能指定详细权限。我把s3上传专用的帐号,连list功能都禁了,非机密文件只通过明确地址,公开文件只通过cloudfront 虽然amazon迟迟不推出billing cap功能挺鸡贼的,但权限分开,让容易泄漏的帐号无权创建ec2 instance是可以堵住这个陷阱的。 |
 | 9 mahone3297 2014-12-31 16:03:38 +08:00 别人知道了api key,怎么盗用?买东西? |
 | 10 9hills 2014-12-31 16:12:29 +08:00 @mahone3297 用ECS的GPU Instances 挖矿。。 |
| 11 9hills 2014-12-31 16:13:25 +08:00 EC2。。写错了 |
 | 12 xoxo 2014-12-31 16:14:27 +08:00 论 .gitignore 的重要性 |
 | 13 hcymk2 2014-12-31 16:18:01 +08:00 @mahone3297 When I woke up the next morning, I had four emails from Amazon AWS and a missed phone call from Amazon AWS. Something about 140 servers running on my AWS account |
 | 14 greatghoul 2014-12-31 16:18:29 +08:00 这也太惨了。 |
 | 15 liubin 2014-12-31 16:29:05 +08:00 论先充值的好处。 |
 | 16 xierch 2014-12-31 17:24:15 +08:00 > Amazon was kind enough to drop the charges this time… |
 | 17 lightening 2014-12-31 17:39:22 +08:00 via iPhone 这个可以申请退款的。 |
 | 18 shajiquan 2014-12-31 18:39:42 +08:00 好惨…… |
 | 19 imlonghao 2014-12-31 19:03:03 +08:00 |
 | 20 virusdefender 2014-12-31 19:07:12 +08:00  1 |
 | 23 ETiV 2014-12-31 19:31:41 +08:00 via iPhone 之前也有过把sublime text的SFTP插件配置push到Github上,造成主机ssh密码泄漏的事儿…… |
| 24 hcymk2 2014-12-31 19:33:30 +08:00 |
| 25 imlonghao 2014-12-31 20:39:50 +08:00 @virusdefender 我就说你的ID怎么那么熟悉 哈哈 |
 | 26 nooper 2015-01-01 11:55:31 +08:00 我在代码里面都不会上传真实的id和key的。私有源也一样。尽量避免真实的id。 |
Select Language