VS2015 GitHub 插件 bug 导致用户损失 $6500
当好工作来敲门~ 
Visual Studio 2015 的 GitHub 插件出现 bug,把用户想提交到私有仓库的代码推送到公有库,暴露了代码里面的 AWS key ,被比特币矿主发现,用一堆机器自动在上面挖比特币,导致用户几小时内损失了 $6500。
这是 Visual studio 2015 在 GitHub 插件上的 bug,VisualStudio 的 GitHub 插件是 GitHub 最初与微软合作开发的。事情发生后也积极联系了那位用户,现在已经提供了最新的修复,请及时更新插件:
https://visualstudiogallery.msdn.microsoft.com/75be44fb-0794-4391-8865-c3279527e97d
相关的 Git 库信息请看: https://github.com/github/VisualStudio/pull/64
问题源头请看: https://github.com/github/VisualStudio/issues/62
这个事情是怎么发生的呢?
-
由于 Visual Studio 的 bug,把一个私有库提交成公有库
-
而用户认为这个库是私有的,并没有检查,或者在上线之前测试
为什么数据损失的这么快?
-
比特币矿主不停的扫描 GitHub 上的源代码,寻找 AWS key
-
然后使用这些 keys 生成大量 EC2 实例,挖比特币
如何防止或者减轻损失?
-
在上线之前要充分测试新版本控制 GUIs
-
在配置文件加密敏感信息
-
把访问 keys 放到独立配置文件,使用 .gitignore 执行 Git 部署
-
亚马逊默认实现每日最大预算
-
理想情况下,亚马逊不允许无限支出
-
亚马逊应该提供一个 AWS 账号禁用功能
更多事情的内幕请看 这里 。
VisualStudio (GitHub Extension for Visual Studio) 是 GitHub 的Visual Studio 插件。
主要功能:
-
连接 GitHub
-
一键 clone
-
创建新库
-
发布本地库
正文到此结束
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
