капибара
Энди Хоффман прошёл небольшой курс Ruby on Rails на сайте Lynda, а затем решил опробовать полученные навыки в действии. Он спроектировал простой клон сервиса обзоров ресторанов и других мелких предприятий сферы услуг Yelp. Сайт писался под Heroku на основе Rails и СУБД PostgreSQL. В процессе работы Хоффман столкнулся с необходимостью хранить пользовательские изображения. Выбор пал на бесплатное годовое предложение теста AWS, в нём были лишь некоторые ограничения на выгрузку. Подключение файлового хостинга S3 не вызвало особых трудностей. Разработчик положился на гем Figaro для защиты приватных ключей при выгрузке кода. Но они всё равно попали на GitHub. При проверке Хоффман быстро заметил неладное и немедленно удалил любые следы важных данных. Всего до удаления прошло порядка 5 минут. На следующее утро Хоффман обнаружил 4 электронных письма, 1 пропущенный звонок от AWS и счёт на 2375 долларов. Оказалось, что с помощью украденного ключа можно запускать инстансы EC2 — необходимых ограничений по правам доступа задано не было. Всего с аккаунта Хоффмана было создано 140 серверов. Судя по тому, что случилось с ключом Хоффмана, злоумышленники уже автоматизировали процесс сбора и использования этих ключей. Боты круглосуточно сканируют GitHub на предмет наличия API-ключей. После нахождения запускаются сервера EC2 и начинается майнинг криптовалюты. |
|||
| https://geektimes.ru/post/243811/ |
25.03.2015 в 18:32
"если упало и пролежало не больше 3х секунд на полу, значит можно поднимать и кушать" тут не сработало
25.03.2015 в 18:40
Сегодня буквально была похожая история от чувака из Зеленограда
25.03.2015 в 22:01