Linode 的最新声明

2013-04-16 15:55:50 +08:00
 lichao
http://blog.linode.com/2013/04/16/security-incident-update/
5853 次点击
所在节点    Linode
38 条回复
Kymair
2013-04-16 16:15:06 +08:00
等Infra升级忙完了,Linode下一步最好着手从ColdFusion迁移到其他的平台。

老实说我一点也不懂ColdFusion, 但这种由单一公司把持,又不是很大众化,甚至说有点过时的平台,更容易受这种zero-day vulnerability的侵害。

如果没记错的话,当初Google被侵入的时候,黑客最开始借助的也是Adobe Reader之类软件的漏洞。再想想iPhone在线一键jailbreak所利用的PDF漏洞,唔...
lichao
2013-04-16 16:19:34 +08:00
@Kymair 这个迁移是个大工程
clippit
2013-04-16 17:12:43 +08:00
The private key is itself encrypted with passphrase encryption and the passphrase is not stored electronically.
所以说信用卡数据即使俩密钥都泄漏,没有passphrase依然不能破解。如果Linode写在公司保险柜里某张纸上的passphrase足够复杂,可以说信用卡数据仍然是安全的。
ritksm
2013-04-16 17:18:59 +08:00
arbow
2013-04-16 17:38:05 +08:00
把安全性寄托在passphrase有没被破解是不保险的,估计大多数人都会选择换卡了
niaoren
2013-04-16 17:48:25 +08:00
我选择不挂失不换卡。
luikore
2013-04-16 18:15:49 +08:00
passphrase 就不要依靠了, 何况背后的利益这么多(linode 还跑出来打包票, 不少用户还真信了没去换卡), 黑客临时进一匹设备去爆破都值得...

刚发问题问了 linode 客服, 值得庆幸的是 CVV 没有保存在数据库里, 定时扣款是通过 token 来续费的. 另外确认了其他私人信息如邮箱地址姓名等都是明文存在同一个数据库的 ...
wujiangcheng
2013-04-16 18:18:33 +08:00
选择换卡,即使passphrase够复杂,也只是时间问题
duoglas
2013-04-16 18:35:30 +08:00
总之信用卡挂失更换完毕~
chinshou
2013-04-16 18:39:47 +08:00
我只是奇怪他们怎么自动加密信用卡信息,在不保存passphrase的情况下?莫非每次手动输入passphrase?
asher
2013-04-16 19:06:52 +08:00
等被盗了再来挂失换卡。。╮(╯▽╰)╭
swulling
2013-04-16 19:14:13 +08:00
@loveminds @chengxiao

这个事件算是对前几天你们在另一个「linode好像今天多扣了我一个月的费用 」里的回应。。

商家拥有自动扣款的权力,就代表这个商家一旦泄露你的信息,就麻烦了。

加入linode采用支付宝支付,黑客顶多拿到你的支付宝账号,有用么
chinshou
2013-04-16 19:19:34 +08:00
@luikore
信用卡商家禁止保存cvv的,一旦保存,会被罚一大笔钱的。
http://www.webhostingtalk.com/showthread.php?t=715198
Livid
2013-04-16 19:21:36 +08:00
@swulling 话说,你提醒我了,那么这个奇怪的扣款事件和入侵有没有关系呢?
orzfly
2013-04-16 19:30:04 +08:00
@chinshou 不是只要有公钥就能加密了么?
chinshou
2013-04-16 19:32:50 +08:00
@orzfly
加密是用私钥,解密是用公钥吧?
painter
2013-04-16 19:49:27 +08:00
@swulling 现在还敢买linode的vps嘛?
chinshou
2013-04-16 19:59:25 +08:00
@orzfly
http://blog.linode.com/2013/04/16/security-incident-update/#comments
看上去,理解跟我的不一样,用公钥加密,用私钥解密,估计解密用passphrase是存在内存中,比如putty agent之类的东西里面。

每个月扣款的时候才会用一次私钥。但是还是很难理解linode这么业余,为啥要把私钥保存在服务器,为啥不用一个usb的key保存私钥?
sobigfish
2013-04-16 20:08:21 +08:00
-.- 我才开的个 几乎啥都没有呢,tail /var/log/auth.log 发现不少尝试


@luikore 我支付的时候没填cvv 一样正常扣款了啊
iZr
2013-04-16 20:46:23 +08:00
放弃LINODE了.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/66027

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX