有人不小心把自己的 S3 API Key 放进 GitHub，然后被盗用之后收到一张 $2375 的账单

Sunnyyoung

2014-12-31 14:50:59 +08:00

我以为是你＝＝

hging

2014-12-31 14:52:29 +08:00

被盗取用来挖比特币 . 也是蛮牛的.

glasslion

2014-12-31 14:54:04 +08:00

只能说是自己做死。盗用是在他发现 API Key被误提交后发生的。他把提交的信息删了就以为没事了。重置下API Key 有那么难吗

2014-12-31 14:54:31 +08:00

。。。看来要注意下了。。

lemonda

2014-12-31 14:58:19 +08:00

http://wptavern.com/ryan-hellyers-aws-nightmare-leaked-access-keys-result-in-a-6000-bill-overnight

这位也是，希望能被免单吧，要不这年过的

LINAICAI

2014-12-31 15:13:49 +08:00

刚好一部MBP

Kilerd

2014-12-31 15:15:00 +08:00

我也以为是你

HowardMei

2014-12-31 15:31:00 +08:00

菜鸟级错误，早就不应该用root credentials操作，iam roles能指定详细权限。我把s3上传专用的帐号，连list功能都禁了，非机密文件只通过明确地址，公开文件只通过cloudfront

虽然amazon迟迟不推出billing cap功能挺鸡贼的，但权限分开，让容易泄漏的帐号无权创建ec2 instance是可以堵住这个陷阱的。

mahone3297

2014-12-31 16:03:38 +08:00

别人知道了api key，怎么盗用？买东西？

9hills

2014-12-31 16:12:29 +08:00

@mahone3297 用ECS的GPU Instances 挖矿。。

9hills

2014-12-31 16:13:25 +08:00

EC2。。写错了

xoxo

2014-12-31 16:14:27 +08:00

论 .gitignore 的重要性

hcymk2

2014-12-31 16:18:01 +08:00

@mahone3297
When I woke up the next morning, I had four emails from Amazon AWS and a missed phone call from Amazon AWS. Something about 140 servers running on my AWS account

greatghoul

2014-12-31 16:18:29 +08:00

这也太惨了。

liubin

2014-12-31 16:29:05 +08:00

论先充值的好处。

xierch

2014-12-31 17:24:15 +08:00

> Amazon was kind enough to drop the charges this time…

lightening

2014-12-31 17:39:22 +08:00

这个可以申请退款的。

shajiquan

2014-12-31 18:39:42 +08:00

好惨……

imlonghao

2014-12-31 19:03:03 +08:00

http://www.wooyun.org/searchbug.php?q=R2l0aHVi&pNO=1
何不看看这个？

virusdefender

2014-12-31 19:07:12 +08:00

@imlonghao 还有 http://drops.wooyun.org/papers/4439

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/158204

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.