Linode 的最新声明

等Infra升级忙完了，Linode下一步最好着手从ColdFusion迁移到其他的平台。

老实说我一点也不懂ColdFusion, 但这种由单一公司把持，又不是很大众化，甚至说有点过时的平台，更容易受这种zero-day vulnerability的侵害。

如果没记错的话，当初Google被侵入的时候，黑客最开始借助的也是Adobe Reader之类软件的漏洞。再想想iPhone在线一键jailbreak所利用的PDF漏洞，唔...

@Kymair 这个迁移是个大工程

The private key is itself encrypted with passphrase encryption and the passphrase is not stored electronically.
所以说信用卡数据即使俩密钥都泄漏，没有passphrase依然不能破解。如果Linode写在公司保险柜里某张纸上的passphrase足够复杂，可以说信用卡数据仍然是安全的。

唉

把安全性寄托在passphrase有没被破解是不保险的，估计大多数人都会选择换卡了

我选择不挂失不换卡。

passphrase 就不要依靠了, 何况背后的利益这么多(linode 还跑出来打包票, 不少用户还真信了没去换卡), 黑客临时进一匹设备去爆破都值得...

刚发问题问了 linode 客服, 值得庆幸的是 CVV 没有保存在数据库里, 定时扣款是通过 token 来续费的. 另外确认了其他私人信息如邮箱地址姓名等都是明文存在同一个数据库的 ...

选择换卡，即使passphrase够复杂，也只是时间问题

总之信用卡挂失更换完毕~

我只是奇怪他们怎么自动加密信用卡信息，在不保存passphrase的情况下？莫非每次手动输入passphrase？

等被盗了再来挂失换卡。。╮(╯▽╰)╭

@loveminds @chengxiao

这个事件算是对前几天你们在另一个「linode好像今天多扣了我一个月的费用 」里的回应。。

商家拥有自动扣款的权力，就代表这个商家一旦泄露你的信息，就麻烦了。

加入linode采用支付宝支付，黑客顶多拿到你的支付宝账号，有用么

@luikore
信用卡商家禁止保存cvv的，一旦保存，会被罚一大笔钱的。
http://www.webhostingtalk.com/showthread.php?t=715198

@swulling 话说，你提醒我了，那么这个奇怪的扣款事件和入侵有没有关系呢？

@chinshou 不是只要有公钥就能加密了么？

@orzfly
加密是用私钥，解密是用公钥吧？

@swulling 现在还敢买linode的vps嘛？

@orzfly
http://blog.linode.com/2013/04/16/security-incident-update/#comments
看上去，理解跟我的不一样，用公钥加密，用私钥解密，估计解密用passphrase是存在内存中，比如putty agent之类的东西里面。

每个月扣款的时候才会用一次私钥。但是还是很难理解linode这么业余，为啥要把私钥保存在服务器，为啥不用一个usb的key保存私钥？

-.- 我才开的个 几乎啥都没有呢，tail /var/log/auth.log 发现不少尝试


@luikore 我支付的时候没填cvv 一样正常扣款了啊

放弃LINODE了.