V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Linode 各机房速度测试
http://www.linode.com/speedtest/
lichao
V2EX  ›  Linode

Linode 的最新声明

  •  
  •   lichao · 2013-04-16 15:55:50 +08:00 · 5820 次点击
    这是一个创建于 4242 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2013-04-16 16:27:43 +08:00
    似乎被入侵是事实啊
    38 条回复    1970-01-01 08:00:00 +08:00
    Kymair
        1
    Kymair  
       2013-04-16 16:15:06 +08:00
    等Infra升级忙完了,Linode下一步最好着手从ColdFusion迁移到其他的平台。

    老实说我一点也不懂ColdFusion, 但这种由单一公司把持,又不是很大众化,甚至说有点过时的平台,更容易受这种zero-day vulnerability的侵害。

    如果没记错的话,当初Google被侵入的时候,黑客最开始借助的也是Adobe Reader之类软件的漏洞。再想想iPhone在线一键jailbreak所利用的PDF漏洞,唔...
    lichao
        2
    lichao  
    OP
       2013-04-16 16:19:34 +08:00
    @Kymair 这个迁移是个大工程
    clippit
        3
    clippit  
       2013-04-16 17:12:43 +08:00
    The private key is itself encrypted with passphrase encryption and the passphrase is not stored electronically.
    所以说信用卡数据即使俩密钥都泄漏,没有passphrase依然不能破解。如果Linode写在公司保险柜里某张纸上的passphrase足够复杂,可以说信用卡数据仍然是安全的。
    ritksm
        4
    ritksm  
       2013-04-16 17:18:59 +08:00
    arbow
        5
    arbow  
       2013-04-16 17:38:05 +08:00
    把安全性寄托在passphrase有没被破解是不保险的,估计大多数人都会选择换卡了
    niaoren
        6
    niaoren  
       2013-04-16 17:48:25 +08:00
    我选择不挂失不换卡。
    luikore
        7
    luikore  
       2013-04-16 18:15:49 +08:00
    passphrase 就不要依靠了, 何况背后的利益这么多(linode 还跑出来打包票, 不少用户还真信了没去换卡), 黑客临时进一匹设备去爆破都值得...

    刚发问题问了 linode 客服, 值得庆幸的是 CVV 没有保存在数据库里, 定时扣款是通过 token 来续费的. 另外确认了其他私人信息如邮箱地址姓名等都是明文存在同一个数据库的 ...
    wujiangcheng
        8
    wujiangcheng  
       2013-04-16 18:18:33 +08:00
    选择换卡,即使passphrase够复杂,也只是时间问题
    duoglas
        9
    duoglas  
       2013-04-16 18:35:30 +08:00
    总之信用卡挂失更换完毕~
    chinshou
        10
    chinshou  
       2013-04-16 18:39:47 +08:00
    我只是奇怪他们怎么自动加密信用卡信息,在不保存passphrase的情况下?莫非每次手动输入passphrase?
    asher
        11
    asher  
       2013-04-16 19:06:52 +08:00
    等被盗了再来挂失换卡。。╮(╯▽╰)╭
    swulling
        12
    swulling  
       2013-04-16 19:14:13 +08:00
    @loveminds @chengxiao

    这个事件算是对前几天你们在另一个「linode好像今天多扣了我一个月的费用 」里的回应。。

    商家拥有自动扣款的权力,就代表这个商家一旦泄露你的信息,就麻烦了。

    加入linode采用支付宝支付,黑客顶多拿到你的支付宝账号,有用么
    chinshou
        13
    chinshou  
       2013-04-16 19:19:34 +08:00
    @luikore
    信用卡商家禁止保存cvv的,一旦保存,会被罚一大笔钱的。
    http://www.webhostingtalk.com/showthread.php?t=715198
    Livid
        14
    Livid  
    MOD
       2013-04-16 19:21:36 +08:00
    @swulling 话说,你提醒我了,那么这个奇怪的扣款事件和入侵有没有关系呢?
    orzfly
        15
    orzfly  
       2013-04-16 19:30:04 +08:00
    @chinshou 不是只要有公钥就能加密了么?
    chinshou
        16
    chinshou  
       2013-04-16 19:32:50 +08:00
    @orzfly
    加密是用私钥,解密是用公钥吧?
    painter
        17
    painter  
       2013-04-16 19:49:27 +08:00
    @swulling 现在还敢买linode的vps嘛?
    chinshou
        18
    chinshou  
       2013-04-16 19:59:25 +08:00
    @orzfly
    http://blog.linode.com/2013/04/16/security-incident-update/#comments
    看上去,理解跟我的不一样,用公钥加密,用私钥解密,估计解密用passphrase是存在内存中,比如putty agent之类的东西里面。

    每个月扣款的时候才会用一次私钥。但是还是很难理解linode这么业余,为啥要把私钥保存在服务器,为啥不用一个usb的key保存私钥?
    sobigfish
        19
    sobigfish  
       2013-04-16 20:08:21 +08:00
    -.- 我才开的个 几乎啥都没有呢,tail /var/log/auth.log 发现不少尝试


    @luikore 我支付的时候没填cvv 一样正常扣款了啊
    iZr
        20
    iZr  
       2013-04-16 20:46:23 +08:00
    放弃LINODE了.
    Kymair
        21
    Kymair  
       2013-04-16 21:29:46 +08:00
    依旧支持Linode ;-)
    说句老实话,因为怎么说呢,唉,上次PSN泄露千万级信用卡信息,已经让我觉得,除了自己注意安全,按时检查账单,几乎没有什么云是绝对安全的了。
    这次Linode被入侵,当然我是很失望,但是看起来他们的安全级别还算足够高了。
    chinshou
        22
    chinshou  
       2013-04-16 21:50:15 +08:00
    @Kymair
    他们将公钥和私钥放在一个服务器上,这也能叫安全,从日志上来看,他们的机器被劫持了好几周。很难让人相信passphrase没有被盗取。

    另外lish的密码是明文,这跟CSDN的水平有一拼
    loveminds
        23
    loveminds  
       2013-04-16 22:49:49 +08:00
    @swulling 他们不使用支付宝,就算使用网关的话也通常是Paypal/Payza
    第三方支付平台不是白做的,他们也要从交易中抽成
    那么这笔多出来的成本也就只好转嫁给客户了
    summic
        24
    summic  
       2013-04-16 22:58:11 +08:00 via iPhone
    今天中午已经要求冻结掉了我的卡
    swulling
        25
    swulling  
       2013-04-17 03:30:26 +08:00
    @loveminds paypal不如支付宝好用。我并不是说建议linode用支付宝,而是说整个信用卡网上支付的环境就不太好,缺失签名验证后,信用卡诈骗实在太猖獗了。

    第三方支付是要抽成,国内支付宝和财付通都是抽1%,商户量越大越少。这点成本比起信用卡信息泄露的风险还是相当可以接受的。ls还有人去换卡,这都是时间和精力的成本。
    swulling
        26
    swulling  
       2013-04-17 03:33:53 +08:00
    @loveminds 总之就是一个信任度的问题,你是否相信电脑那边的服务商会妥善保存你的信用卡信息

    从linode和psn等事件来看,这个信任度是很低的
    breestealth
        27
    breestealth  
       2013-04-17 09:22:11 +08:00
    @chinshou
    @luikore
    某些场合,不用CVV就能扣款的。
    rhwood
        28
    rhwood  
       2013-04-17 09:27:31 +08:00
    linode无疑是被泄露了,正在认真考虑挂失信用卡。
    Kymair
        29
    Kymair  
       2013-04-17 09:58:14 +08:00
    我无意为Linode开脱,当然谨慎些,现在挂失信用卡,也坏不到哪去。

    只是这件事件,黑客能利用ColdFusion的0-day漏洞,然后从一台web server开始一直拿到数据库里的数据。他们的目的是信用卡吗?恐怕不是。信用卡诈骗是比较常见和初级的行为,我不觉得黑客的目的在此。

    换句话说,自从上次CSDN大规模泄密之后,我真的是相信我的信用卡及不少密码早就已经暴露了外了。它现在没事,只是因为还没人对它感兴趣而已,因为它淹没在海量的其他也已经暴露的数据里。

    Linode这次确实做的不好,但我相信他们会大幅度的加强安全措施。
    olnyshe
        30
    olnyshe  
       2013-04-17 10:10:12 +08:00
    http://www.freebuf.com/news/8722.html
    黑客声称已取得Linode所有信用卡信息,并公开了代码片段和服务器目录
    Kymair
        31
    Kymair  
       2013-04-17 10:40:12 +08:00
    读完了楼上的聊天记录 黑客还谈到了对BitCoins的看法,哈哈
    KiseXu
        32
    KiseXu  
       2013-04-17 11:57:10 +08:00 via iPad
    我在linode没有输cvv也能完成扣款
    xdata
        33
    xdata  
       2013-04-17 12:23:05 +08:00
    不知道linode有没有保存包括信用卡信息在内的完整历史交易记录?
    我都是习惯扣费成功后立刻改16个0...
    loveminds
        34
    loveminds  
       2013-04-17 12:28:51 +08:00
    @swulling Payza其实都还行~在国外抽成比例应该不止1%
    yufenglx
        35
    yufenglx  
       2013-04-17 15:15:43 +08:00
    我发现现在日本节点延迟在45,46毫秒左右 太给力了~
    chunshuai
        36
    chunshuai  
       2013-04-19 10:50:46 +08:00
    @yufenglx 延迟低 速度如何? 重点照顾啊
    burnex
        37
    burnex  
       2013-04-19 10:57:20 +08:00
    感觉速度还行
    qq286735628
        38
    qq286735628  
       2013-04-19 12:19:58 +08:00
    国内的信用卡,可以办理关闭网上交易的功能啊~
    要用的时候才打开,不用就关了~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3144 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 00:18 · PVG 08:18 · LAX 16:18 · JFK 19:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.