С одним из пользователей облачного сервиса Amazon Web Services (AWS) случился неприятный инцидент. Недавно он получил письмо от Amazon с информацией, что его ключ обнаружен в открытом доступе на Github. Ключ разработчика — это секретная информация, но программисты часто забывают удалить его из кода, который выкладывают в open source. Вот и здесь произошло то же самое.
Удивление пользователя еще более возросло, когда он авторизовался в системе и увидел счет за услуги AWS. За использование вычислительных мощностей «накапало» больше трех тысяч долларов!
Детальная статистика показала, за что конкретно насчитан тариф: на протяжении последних двух суток в облаке усиленно трудились двадцать виртуальных машин cc2.8xlarge.
Естественно, пользователь быстро удалил виртуальные машины. Хотя у него была мысль сохранить их для проведения расследования, но он просто не мог позволить себе это с финансовой точки зрения. Однако, он заметил, что виртуальные машины занимались майнингом Litecoin для пула pool-x.eu. Неграмотный хакер добывал монеты на CPU вместо того, чтобы запустить виртуальные машины на GPU.
Пострадавший пользователь написал в техподдержку Amazon и администратору пула совместного майнинга pool-x.eu, сейчас ждет ответа. Он также рекомендует всем программистам проверить исходный код своих проектов на предмет секретных ключей.
