有人不小心把自己的 S3 API Key 放进 GitHub，然后被盗用之后收到一张 $2375 的账单

Sunnyyoung

2014 年 12 月 31 日

我以为是你＝＝

hging

2014 年 12 月 31 日

被盗取用来挖比特币 . 也是蛮牛的.

glasslion

2014 年 12 月 31 日

只能说是自己做死。盗用是在他发现 API Key被误提交后发生的。他把提交的信息删了就以为没事了。重置下API Key 有那么难吗

2014 年 12 月 31 日

。。。看来要注意下了。。

lemonda

2014 年 12 月 31 日

http://wptavern.com/ryan-hellyers-aws-nightmare-leaked-access-keys-result-in-a-6000-bill-overnight

这位也是，希望能被免单吧，要不这年过的

LINAICAI

2014 年 12 月 31 日

刚好一部MBP

Kilerd

2014 年 12 月 31 日

我也以为是你

HowardMei

2014 年 12 月 31 日

菜鸟级错误，早就不应该用root credentials操作，iam roles能指定详细权限。我把s3上传专用的帐号，连list功能都禁了，非机密文件只通过明确地址，公开文件只通过cloudfront

虽然amazon迟迟不推出billing cap功能挺鸡贼的，但权限分开，让容易泄漏的帐号无权创建ec2 instance是可以堵住这个陷阱的。

mahone3297

2014 年 12 月 31 日

别人知道了api key，怎么盗用？买东西？

9hills

2014 年 12 月 31 日

@mahone3297 用ECS的GPU Instances 挖矿。。

9hills

2014 年 12 月 31 日

EC2。。写错了

xoxo

2014 年 12 月 31 日

论 .gitignore 的重要性

hcymk2

2014 年 12 月 31 日

@mahone3297
When I woke up the next morning, I had four emails from Amazon AWS and a missed phone call from Amazon AWS. Something about 140 servers running on my AWS account

greatghoul

2014 年 12 月 31 日

这也太惨了。

liubin

2014 年 12 月 31 日

论先充值的好处。

xierch

2014 年 12 月 31 日

> Amazon was kind enough to drop the charges this time…

lightening

2014 年 12 月 31 日

这个可以申请退款的。

shajiquan

2014 年 12 月 31 日

好惨……

imlonghao

2014 年 12 月 31 日

http://www.wooyun.org/searchbug.php?q=R2l0aHVi&pNO=1
何不看看这个？

virusdefender

2014 年 12 月 31 日

@imlonghao 还有 http://drops.wooyun.org/papers/4439

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/158204

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.