VS2015 GitHub 插件 bug 导致用户损失 $6500

oschina
 oschina
发布于 2015年09月02日
收藏 8

Visual Studio 2015 的 GitHub 插件出现 bug,把用户想提交到私有仓库的代码推送到公有库,暴露了代码里面的 AWS key ,被比特币矿主爬到,一堆机器自动在上面挖比特币,导致用户几小时内损失了 $6500。

The Bill - How a bug in Visual Studio 2015 exposed my source code on GitHub and cost me $6,500 in a few hours

这是 Visual studio 2015 在 GitHub 插件上的 bug,VisualStudio 的 GitHub 插件是 GitHub 最初与微软合作开发的。事情发生后也积极联系了那位用户,现在已经提供了最新的修复,请及时更新插件:

https://visualstudiogallery.msdn.microsoft.com/75be44fb-0794-4391-8865-c3279527e97d

相关的 Git 库信息请看:https://github.com/github/VisualStudio/pull/64

问题源头请看:https://github.com/github/VisualStudio/issues/62

这个事情是怎么发生的呢?

  • 由于 Visual Studio 的 bug,把一个私有库提交成公有库

  • 而用户认为这个库是私有的,并没有检查,或者在上线之前测试

为什么数据损失的这么快?

  • 比特币矿主不停的扫描 GitHub 上的源代码,寻找 AWS key

  • 然后使用这些 keys 生成大量 EC2 实例,挖比特币

如何防止或者减轻损失?

  • 在上线之前要充分测试新版本控制 GUIs

  • 在配置文件加密敏感信息

  • 把访问 keys 放到独立配置文件,使用 .gitignore 执行 Git 部署

  • 亚马逊默认实现每日最大预算

  • 理想情况下,亚马逊不允许无限支出

  • 亚马逊应该提供一个 AWS 账号禁用功能

更多事情的内幕请看这里

VisualStudio (GitHub Extension for Visual Studio) 是 GitHub 的 Visual Studio 插件。

主要功能:

  • 连接 GitHub

  • 一键 clone

  • 创建新库

  • 发布本地库

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:VS2015 GitHub 插件 bug 导致用户损失 $6500
加载中

最新评论(23

cragsman
cragsman

引用来自“huayaoyue6”的评论

可以申请amazon退款的
aws业界良心,一年免费,上面搭个shadowsocks科学上网,速度还是很不错的
快乐的一只小青蛙
快乐的一只小青蛙
体验了一周的vs2015,问题还很多,不够稳定,我们之前公司才换到vs2012
开源中国匿名会员
开源中国匿名会员

引用来自“eechen”的评论

Visual Studio是世界上最好的IDE。
一个小bug,就能让你损失6500美元(41303人民币元),你敢用吗?反正不关我事。

引用来自“妈她亲我”的评论

说的好像你用的起一样。SB

引用来自“0Scn”的评论

哈哈,这回复我喜欢!
哈哈,我喜欢楼上的回复。
清风CC
清风CC
有点震惊
Liberxue
Liberxue

引用来自“小白小霸王”的评论

幸亏gitosc上没有值钱的项目
哈 笑而不语
杜晓宇
杜晓宇
→_→开头和标题明明说的extension的bug,到了后面又说成了VS的bug,评论也真够了,节奏也不是这样乱带的吧- -
妈她亲我
妈她亲我

引用来自“eechen”的评论

Visual Studio是世界上最好的IDE。
一个小bug,就能让你损失6500美元(41303人民币元),你敢用吗?反正不关我事。
说的好像你用的起一样。SB
大头s
大头s

引用来自“eechen”的评论

Visual Studio是世界上最好的IDE。
一个小bug,就能让你损失6500美元(41303人民币元),你敢用吗?反正不关我事。
这个B装的好
eechen
eechen
Visual Studio是世界上最好的IDE。
一个小bug,就能让你损失6500美元(41303人民币元),你敢用吗?反正不关我事。
阿昭
阿昭
最好的办法就是不用vs
返回顶部
顶部