有人不小心把自己的 S3 API Key 放进 GitHub,然后被盗用之后收到一张 $2375 的账单

2014-12-31 14:37:14 +08:00
 Livid
http://www.devfactor.net/2014/12/30/2375-amazon-mistake/
9032 次点击
所在节点    Amazon Web Services
26 条回复
Sunnyyoung
2014-12-31 14:50:59 +08:00
我以为是你= =
hging
2014-12-31 14:52:29 +08:00
被盗取用来挖比特币 . 也是蛮牛的.
glasslion
2014-12-31 14:54:04 +08:00
只能说是自己做死。盗用是在他发现 API Key被误提交后发生的。 他把提交的信息删了就以为没事了。重置下API Key 有那么难吗
xw
2014-12-31 14:54:31 +08:00
。。。看来要注意下了。。
lemonda
2014-12-31 14:58:19 +08:00
LINAICAI
2014-12-31 15:13:49 +08:00
刚好一部MBP
Kilerd
2014-12-31 15:15:00 +08:00
我也以为是你
HowardMei
2014-12-31 15:31:00 +08:00
菜鸟级错误,早就不应该用root credentials操作,iam roles能指定详细权限。我把s3上传专用的帐号,连list功能都禁了,非机密文件只通过明确地址,公开文件只通过cloudfront

虽然amazon迟迟不推出billing cap功能挺鸡贼的,但权限分开,让容易泄漏的帐号无权创建ec2 instance是可以堵住这个陷阱的。
mahone3297
2014-12-31 16:03:38 +08:00
别人知道了api key,怎么盗用?买东西?
9hills
2014-12-31 16:12:29 +08:00
@mahone3297 用ECS的GPU Instances 挖矿。。
9hills
2014-12-31 16:13:25 +08:00
EC2。。写错了
xoxo
2014-12-31 16:14:27 +08:00
论 .gitignore 的重要性
hcymk2
2014-12-31 16:18:01 +08:00
@mahone3297
When I woke up the next morning, I had four emails from Amazon AWS and a missed phone call from Amazon AWS. Something about 140 servers running on my AWS account
greatghoul
2014-12-31 16:18:29 +08:00
这也太惨了。
liubin
2014-12-31 16:29:05 +08:00
论先充值的好处。
xierch
2014-12-31 17:24:15 +08:00
> Amazon was kind enough to drop the charges this time…
lightening
2014-12-31 17:39:22 +08:00
这个可以申请退款的。
shajiquan
2014-12-31 18:39:42 +08:00
好惨……
imlonghao
2014-12-31 19:03:03 +08:00
virusdefender
2014-12-31 19:07:12 +08:00

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/158204

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX