[心得] AWS帳號被盜經驗談

看板Soft_Job作者 (z1976)時間1年前 (2022/08/13 21:19), 1年前編輯推噓18(1809)
留言27則, 20人參與, 1年前最新討論串1/3 (看更多)
上個月某天晚上收到亞馬遜email通知我的帳號被盜用,被開了很多個scalable group, 帳單多了2000多鎂,亞馬遜直接幫我開了support ticket 想說這邊比較多同行,在這把被盜用以及溝通到刷退的經驗分享出來可能可以幫到一些人 首先,保護帳號安全不完全是廠商的責任,客戶也有責任,按照亞馬遜的慣例,第一次發 生時他們會退款,第二次就不一定了喔,國外論壇就有人被盜第二次被拒絕退款,恐怖喔 .... 近幾年因為加密貨幣挖礦有利可圖,這類雲端服務盜用案例猖獗,如果你有閒置的AWS或Azure,請立刻升級你帳號的安全防護,或是停用吧 當帳號被盜用時,在support event中.. 客服會要求你做幾件事,只要配合照做就行了.. 1. 立即檢查不是由你發起的實體、角色、政策,如果有就立刻移除 2. 設置你的預算,當用量超過預算時你能即時收到通知 3. 升級帳號防護,這包括幾個實作... A. 最基本的修改密碼 B. 啟用MFA C. 啟用CloudTrail:這是追蹤帳戶活動用的,可以讓你看到所有你帳號活動的log D. 啟用GuardDuty:一個類似防毒軟體的機器人,替你監測子帳號有沒有惡意活動 其中C和D可能會產生一些費用,也沒有強制要使用,但比起被盜的金額小太多了,有開我 會比較放心,所以還是開了 而我也確實用CloudTrail找到盜用我帳號的IP、時間點以及他盜用的服務,雖然我沒有做 這個也不會影響審查結果 當確定非法服務都已停用,且帳戶也足夠安全之後,才會進入帳單審核階段,他們會計算 非你授權的服務產生的金額,然後刷退給你。 我總共歷經約1個多月才收到刷退通知。我的心得是: 1. 不要不理會官方的email,如果一開始我忽略那封通知信,可能要等收到信用卡帳單才 知道事態嚴重,等那時已經不知道被盜用多少金額了,亞馬遜可能會認為我態度消極,能不能順利退款就不知道了喔 2. 客服一定要確保你的帳號安全了,才會進入帳單審核階段,所以不要急著催他們消帳,只要配合提升帳號安全,最後都會收到退款的 3. 有不懂的就直接問客服,AWS的服務很多,大部分我都不知道那是什麼,都是靠客服幫忙解決的 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.228.72.118 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1660396766.A.3CE.html
08/13 21:32, 1年前 , 1F
滿實用的經驗,推
08/13 21:32, 1F
※ 編輯: z1976 (36.228.72.118 臺灣), 08/13/2022 21:47:21
08/13 21:46, 1年前 , 2F
實用經驗推 五月也被盜過 流程差不多就是像這樣沒錯
08/13 21:46, 2F
08/13 21:50, 1年前 , 3F
08/13 21:50, 3F
08/13 21:58, 1年前 , 4F
2000多應該算很快中發現的
08/13 21:58, 4F
08/13 21:58, 1年前 , 5F
最大台的跑久一點就好幾萬惹
08/13 21:58, 5F
08/13 22:05, 1年前 , 6F
08/13 22:05, 6F
08/13 22:55, 1年前 , 7F
這個如果帳號沒綁信用卡是不是就可以不用擔心盜刷?
08/13 22:55, 7F
08/13 23:26, 1年前 , 8F
沒有綁信用卡的通常是企業用戶用出帳的方法付費
08/13 23:26, 8F
08/13 23:26, 1年前 , 9F
被盜用服務一樣會接到帳單
08/13 23:26, 9F
08/13 23:27, 1年前 , 10F
強力建議所有IAM User + Root 都把 MFA 開起來
08/13 23:27, 10F
08/13 23:27, 1年前 , 11F
簡單 高效
08/13 23:27, 11F
08/13 23:30, 1年前 , 12F
推分享
08/13 23:30, 12F
08/14 00:06, 1年前 , 13F
謝分享
08/14 00:06, 13F
08/14 02:15, 1年前 , 14F
IAM開MFA一定要R
08/14 02:15, 14F
08/14 06:15, 1年前 , 15F
沒綁信用卡的個人戶應該跟停用一樣吧
08/14 06:15, 15F
08/14 14:22, 1年前 , 16F
帳號沒開mfa嗎,另外可以設watcher,超過某個額度就會
08/14 14:22, 16F
08/14 14:22, 1年前 , 17F
寄信
08/14 14:22, 17F
08/14 19:26, 1年前 , 18F
感謝分享
08/14 19:26, 18F
08/14 23:17, 1年前 , 19F
一定要開MFA
08/14 23:17, 19F
08/15 09:15, 1年前 , 20F
推分享
08/15 09:15, 20F
※ 編輯: z1976 (114.137.59.92 臺灣), 08/15/2022 14:11:01
08/16 06:00, 1年前 , 21F
被盜+1 來來往往快一個月才終於拿到退款
08/16 06:00, 21F
08/16 09:13, 1年前 , 22F
去年七月也被盜用 8000多鎂 真的快嚇爆
08/16 09:13, 22F
08/16 10:54, 1年前 , 23F
另一篇推文有人有開MFA還是被盜,沒想到aws被盜的案例這
08/16 10:54, 23F
08/16 10:54, 1年前 , 24F
麼多
08/16 10:54, 24F
08/16 15:23, 1年前 , 25F
之前公司的帳號被盜一個晚上被刷了20幾萬被拿去挖幣,好
08/16 15:23, 25F
08/16 15:23, 1年前 , 26F
險是透過代理商商開帳號,要回20幾萬都是他們幫忙處理
08/16 15:23, 26F
08/17 15:16, 1年前 , 27F
開MFA但是HardCode AccessKey 的話也是沒用
08/17 15:16, 27F
更多 z1976 的文章
文章代碼(AID): #1YzwJUFE (Soft_Job)
更多 z1976 的文章
文章代碼(AID): #1YzwJUFE (Soft_Job)