VS2015 GitHub 插件 bug 導致用戶損失 $6500
Visual Studio 2015 的 GitHub 插件出現 bug,把用戶想提交到私有倉庫的代碼推送到公有庫,暴露了代碼里面的 AWS key ,被比特幣礦主爬到,一堆機器自動在上面挖比特幣,導致用戶幾小時內損失了 $6500。
這是 Visual studio 2015 在 GitHub 插件上的 bug,VisualStudio 的 GitHub 插件是 GitHub 最初與微軟合作開發的。事情發生后也積極聯系了那位用戶,現在已經提供了最新的修復,請及時更新插件:
https://visualstudiogallery.
相關的 Git 庫信息請看:https://github.com/github/VisualStudio/pull/64
問題源頭請看:https://github.com/github/VisualStudio/issues/62
這個事情是怎么發生的呢?
-
由于 Visual Studio 的 bug,把一個私有庫提交成公有庫
-
而用戶認為這個庫是私有的,并沒有檢查,或者在上線之前測試
為什么數據損失的這么快?
-
比特幣礦主不停的掃描 GitHub 上的源代碼,尋找 AWS key
-
然后使用這些 keys 生成大量 EC2 實例,挖比特幣
如何防止或者減輕損失?
-
在上線之前要充分測試新版本控制 GUIs
-
在配置文件加密敏感信息
-
把訪問 keys 放到獨立配置文件,使用 .gitignore 執行 Git 部署
-
亞馬遜默認實現每日最大預算
-
理想情況下,亞馬遜不允許無限支出
-
亞馬遜應該提供一個 AWS 賬號禁用功能
更多事情的內幕請看這里。
VisualStudio (GitHub Extension for Visual Studio) 是 GitHub 的 Visual Studio 插件。
主要功能:
-
連接 GitHub
-
一鍵 clone
-
創建新庫
-
發布本地庫
