Linode 的最新声明

等Infra升级忙完了，Linode下一步最好着手从ColdFusion迁移到其他的平台。

老实说我一点也不懂ColdFusion, 但这种由单一公司把持，又不是很大众化，甚至说有点过时的平台，更容易受这种zero-day vulnerability的侵害。

如果没记错的话，当初Google被侵入的时候，黑客最开始借助的也是Adobe Reader之类软件的漏洞。再想想iPhone在线一键jailbreak所利用的PDF漏洞，唔...

@Kymair 这个迁移是个大工程

The private key is itself encrypted with passphrase encryption and the passphrase is not stored electronically.
所以说信用卡数据即使俩密钥都泄漏，没有passphrase依然不能破解。如果Linode写在公司保险柜里某张纸上的passphrase足够复杂，可以说信用卡数据仍然是安全的。

唉

把安全性寄托在passphrase有没被破解是不保险的，估计大多数人都会选择换卡了

我选择不挂失不换卡。

passphrase 就不要依靠了, 何况背后的利益这么多(linode 还跑出来打包票, 不少用户还真信了没去换卡), 黑客临时进一匹设备去爆破都值得...

刚发问题问了 linode 客服, 值得庆幸的是 CVV 没有保存在数据库里, 定时扣款是通过 token 来续费的. 另外确认了其他私人信息如邮箱地址姓名等都是明文存在同一个数据库的 ...

选择换卡，即使passphrase够复杂，也只是时间问题

总之信用卡挂失更换完毕~

我只是奇怪他们怎么自动加密信用卡信息，在不保存passphrase的情况下？莫非每次手动输入passphrase？

等被盗了再来挂失换卡。。╮(╯▽╰)╭

@loveminds @chengxiao

这个事件算是对前几天你们在另一个「linode好像今天多扣了我一个月的费用 」里的回应。。

商家拥有自动扣款的权力，就代表这个商家一旦泄露你的信息，就麻烦了。

加入linode采用支付宝支付，黑客顶多拿到你的支付宝账号，有用么

@luikore
信用卡商家禁止保存cvv的，一旦保存，会被罚一大笔钱的。
http://www.webhostingtalk.com/showthread.php?t=715198

@swulling 话说，你提醒我了，那么这个奇怪的扣款事件和入侵有没有关系呢？

@chinshou 不是只要有公钥就能加密了么？

@orzfly
加密是用私钥，解密是用公钥吧？

@swulling 现在还敢买linode的vps嘛？

@orzfly
http://blog.linode.com/2013/04/16/security-incident-update/#comments
看上去，理解跟我的不一样，用公钥加密，用私钥解密，估计解密用passphrase是存在内存中，比如putty agent之类的东西里面。

每个月扣款的时候才会用一次私钥。但是还是很难理解linode这么业余，为啥要把私钥保存在服务器，为啥不用一个usb的key保存私钥？

-.- 我才开的个 几乎啥都没有呢，tail /var/log/auth.log 发现不少尝试


@luikore 我支付的时候没填cvv 一样正常扣款了啊

放弃LINODE了.

依旧支持Linode ;-)
说句老实话，因为怎么说呢，唉，上次PSN泄露千万级信用卡信息，已经让我觉得，除了自己注意安全，按时检查账单，几乎没有什么云是绝对安全的了。
这次Linode被入侵，当然我是很失望，但是看起来他们的安全级别还算足够高了。

@Kymair
他们将公钥和私钥放在一个服务器上，这也能叫安全，从日志上来看，他们的机器被劫持了好几周。很难让人相信passphrase没有被盗取。

另外lish的密码是明文，这跟CSDN的水平有一拼

@swulling 他们不使用支付宝，就算使用网关的话也通常是Paypal/Payza
第三方支付平台不是白做的,他们也要从交易中抽成
那么这笔多出来的成本也就只好转嫁给客户了

今天中午已经要求冻结掉了我的卡

@loveminds paypal不如支付宝好用。我并不是说建议linode用支付宝，而是说整个信用卡网上支付的环境就不太好，缺失签名验证后，信用卡诈骗实在太猖獗了。

第三方支付是要抽成，国内支付宝和财付通都是抽1%，商户量越大越少。这点成本比起信用卡信息泄露的风险还是相当可以接受的。ls还有人去换卡，这都是时间和精力的成本。

@loveminds 总之就是一个信任度的问题，你是否相信电脑那边的服务商会妥善保存你的信用卡信息

从linode和psn等事件来看，这个信任度是很低的

@chinshou
@luikore
某些场合，不用CVV就能扣款的。

linode无疑是被泄露了，正在认真考虑挂失信用卡。

我无意为Linode开脱，当然谨慎些，现在挂失信用卡，也坏不到哪去。

只是这件事件，黑客能利用ColdFusion的0-day漏洞，然后从一台web server开始一直拿到数据库里的数据。他们的目的是信用卡吗？恐怕不是。信用卡诈骗是比较常见和初级的行为，我不觉得黑客的目的在此。

换句话说，自从上次CSDN大规模泄密之后，我真的是相信我的信用卡及不少密码早就已经暴露了外了。它现在没事，只是因为还没人对它感兴趣而已，因为它淹没在海量的其他也已经暴露的数据里。

Linode这次确实做的不好，但我相信他们会大幅度的加强安全措施。

http://www.freebuf.com/news/8722.html
黑客声称已取得Linode所有信用卡信息，并公开了代码片段和服务器目录

读完了楼上的聊天记录 黑客还谈到了对BitCoins的看法，哈哈

我在linode没有输cvv也能完成扣款

不知道linode有没有保存包括信用卡信息在内的完整历史交易记录?
我都是习惯扣费成功后立刻改16个0...

@swulling Payza其实都还行~在国外抽成比例应该不止1%

我发现现在日本节点延迟在45，46毫秒左右 太给力了~

@yufenglx 延迟低 速度如何? 重点照顾啊

感觉速度还行

国内的信用卡，可以办理关闭网上交易的功能啊~
要用的时候才打开，不用就关了~