作者z1976 (z1976)
看板Soft_Job
标题[心得] AWS帐号被盗经验谈
时间Sat Aug 13 21:19:22 2022
上个月某天晚上收到亚马逊email通知我的帐号被盗用,被开了很多个scalable group,
帐单多了2000多镁,亚马逊直接帮我开了support ticket
想说这边比较多同行,在这把被盗用以及沟通到刷退的经验分享出来可能可以帮到一些人
首先,保护帐号安全不完全是厂商的责任,客户也有责任,按照亚马逊的惯例,第一次发
生时他们会退款,第二次就不一定了喔,国外论坛就有人被盗第二次被拒绝退款,恐怖喔
....
近几年因为加密货币挖矿有利可图,这类云端服务盗用案例猖獗,如果你有闲置的AWS或Azure,请立刻升级你帐号的安全防护,或是停用吧
当帐号被盗用时,在support event中.. 客服会要求你做几件事,只要配合照做就行了..
1. 立即检查不是由你发起的实体、角色、政策,如果有就立刻移除
2. 设置你的预算,当用量超过预算时你能即时收到通知
3. 升级帐号防护,这包括几个实作...
A. 最基本的修改密码
B. 启用MFA
C. 启用CloudTrail:这是追踪帐户活动用的,可以让你看到所有你帐号活动的log
D. 启用GuardDuty:一个类似防毒软体的机器人,替你监测子帐号有没有恶意活动
其中C和D可能会产生一些费用,也没有强制要使用,但比起被盗的金额小太多了,有开我
会比较放心,所以还是开了
而我也确实用CloudTrail找到盗用我帐号的IP、时间点以及他盗用的服务,虽然我没有做
这个也不会影响审查结果
当确定非法服务都已停用,且帐户也足够安全之後,才会进入帐单审核阶段,他们会计算
非你授权的服务产生的金额,然後刷退给你。
我总共历经约1个多月才收到刷退通知。我的心得是:
1. 不要不理会官方的email,如果一开始我忽略那封通知信,可能要等收到信用卡帐单才
知道事态严重,等那时已经不知道被盗用多少金额了,亚马逊可能会认为我态度消极,能不能顺利退款就不知道了喔
2. 客服一定要确保你的帐号安全了,才会进入帐单审核阶段,所以不要急着催他们消帐,只要配合提升帐号安全,最後都会收到退款的
3. 有不懂的就直接问客服,AWS的服务很多,大部分我都不知道那是什麽,都是靠客服帮忙解决的
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.228.72.118 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1660396766.A.3CE.html
1F:推 linnom: 满实用的经验,推08/13 21:32
※ 编辑: z1976 (36.228.72.118 台湾), 08/13/2022 21:47:21
2F:推 holebro: 实用经验推 五月也被盗过 流程差不多就是像这样没错08/13 21:46
3F:推 Lomonosov: 推08/13 21:50
4F:推 qk3380888: 2000多应该算很快中发现的08/13 21:58
5F:→ qk3380888: 最大台的跑久一点就好几万惹08/13 21:58
6F:推 bronx0807: 推08/13 22:05
7F:推 luckycan: 这个如果帐号没绑信用卡是不是就可以不用担心盗刷?08/13 22:55
8F:推 longlyeagle: 没有绑信用卡的通常是企业用户用出帐的方法付费08/13 23:26
9F:→ longlyeagle: 被盗用服务一样会接到帐单08/13 23:26
10F:→ longlyeagle: 强力建议所有IAM User + Root 都把 MFA 开起来08/13 23:27
11F:→ longlyeagle: 简单 高效08/13 23:27
12F:推 viper9709: 推分享08/13 23:30
13F:推 lcy17: 谢分享08/14 00:06
14F:推 WaterLengend: IAM开MFA一定要R 08/14 02:15
15F:→ hduek153: 没绑信用卡的个人户应该跟停用一样吧 08/14 06:15
16F:推 doranako: 帐号没开mfa吗,另外可以设watcher,超过某个额度就会 08/14 14:22
17F:→ doranako: 寄信 08/14 14:22
18F:推 ian90911: 感谢分享 08/14 19:26
19F:推 bill0205: 一定要开MFA 08/14 23:17
20F:推 keroro01: 推分享 08/15 09:15
※ 编辑: z1976 (114.137.59.92 台湾), 08/15/2022 14:11:01
21F:推 kakkokari: 被盗+1 来来往往快一个月才终於拿到退款 08/16 06:00
22F:推 caillat: 去年七月也被盗用 8000多镁 真的快吓爆 08/16 09:13
23F:推 justaID: 另一篇推文有人有开MFA还是被盗,没想到aws被盗的案例这 08/16 10:54
24F:→ justaID: 麽多 08/16 10:54
25F:推 minikai: 之前公司的帐号被盗一个晚上被刷了20几万被拿去挖币,好 08/16 15:23
26F:→ minikai: 险是透过代理商商开帐号,要回20几万都是他们帮忙处理 08/16 15:23
27F:→ jack10220: 开MFA但是HardCode AccessKey 的话也是没用 08/17 15:16