Visual Studio 2015 的 GitHub 插件出现 bug,把用户想提交到私有仓库的代码推送到公有库,暴露了代码里面的 AWS key ,被比特币矿主爬到,一堆机器自动在上面挖比特币,导致用户几小时内损失了 $6500。
这是 Visual studio 2015 在 GitHub 插件上的 bug,VisualStudio 的 GitHub 插件是 GitHub 最初与微软合作开发的。事情发生后也积极联系了那位用户,现在已经提供了最新的修复,请及时更新插件:
https://visualstudiogallery.msdn.microsoft.com/75be44fb-0794-4391-8865-c3279527e97d
相关的 Git 库信息请看:https://github.com/github/VisualStudio/pull/64
问题源头请看:https://github.com/github/VisualStudio/issues/62
这个事情是怎么发生的呢?
由于 Visual Studio 的 bug,把一个私有库提交成公有库
而用户认为这个库是私有的,并没有检查,或者在上线之前测试
为什么数据损失的这么快?
比特币矿主不停的扫描 GitHub 上的源代码,寻找 AWS key
然后使用这些 keys 生成大量 EC2 实例,挖比特币
如何防止或者减轻损失?
在上线之前要充分测试新版本控制 GUIs
在配置文件加密敏感信息
把访问 keys 放到独立配置文件,使用 .gitignore 执行 Git 部署
亚马逊默认实现每日最大预算
理想情况下,亚马逊不允许无限支出
亚马逊应该提供一个 AWS 账号禁用功能
更多事情的内幕请看这里。
VisualStudio (GitHub Extension for Visual Studio) 是 GitHub 的 Visual Studio 插件。
主要功能:
连接 GitHub
一键 clone
创建新库
发布本地库
文章转载自 开源中国社区[https://www.oschina.net]
