Tyver stjal CPU-kraft

2024-11-25 Datamaskin


De galopperende prisene på Bitcoin har i år blitt viet mye oppmerksomhet. Med utsikter til raske penger bør det ikke komme som noen overraskelse at også kriminelle har fattet interesse for krypto-valuta.

Akkurat det fikk Luke Chadwick erfare. I går søndag oppdaget han at noen har misbrukt nøklene til hans personlige konto hos Amazons EC2 (Elastic Compute Cloud), nettskytjenesten som lar kunder leie pc-muskler og virtuell serverkraft over internett.

Litt av et sjokk
Forrige måneds sky-regning var på 69 dollar, så overraskelsen var stor da det viste seg at den australske utvikleren hadde pådratt seg en sky-regning hittil i desember på rundt 3.500 dollar.

– Det var litt av et sjokk, skriver Chadwick i et blogginnlegg.

Nærmere undersøkelser avdekket at det var utvikleren selv som kom i skade for å røpe nøkkelen, som lå i kildekoden på et eldre friprog-prosjekt parkert på GitHub, som han nylig endret fra lukket til åpent tilgjengelig for alle.

Chadwick forteller at han raskt fant ut hva den stjålne datakraften var brukt til. Det var et tyvetalls kraftige EC2-instanser som var satt til å utvinne Litecoin, en av de mange nettvalutaene som har sprunget opp i kjølvannet av Bitcoin.

Lærdommen
Kanskje burde Amazon vært flinkere til å advare om store endringer i uttaket på et langt tidligere tidspunkt, mener han, og viser til at han normalt blir fakturert 60-80 dollar i måneden fra leverandøren.

De godt og vel 21.000 kronene utvikleren nå skylder Amazon blir han trolig nødt til å dekke av egen lomme. Den dyrekjøpte lærdommen deler han likevel med alle.

Hold orden på koden: Det er enkelt å søke gjennom GitHub-prosjekter etter nøkler og passord. Sjekk både dine egne og dine venner prosjekter for å hindre konto-lekkasje. Vær også ekstra påpasselig når du gjør gamle private prosjekter åpne, er blant rådene han gir.

Et annet råd Chadwick takker nettsamfunnet for er å benytte seg av tilgangskontrollen Identity and Access Management (IAM) slik at nøklene er begrenset til prosjektet, og for eksempel ikke har adgang til å spinne opp nye virtuelle servere.

No comments

Leave a Reply

Your email address will not be published.