На цьому тижні розробник програмного забезпечення виявив, що комусь вдалося зробити це і зникнути з цілою купою лайткоінов.
Люк Чедвік, програміст з Мельбурна, був шокований, отримавши електронного листа від Amazon. У ньому повідомлялося, що його персональний Amazon ключ (спеціальний захист необхідна для входу в Веб-сервіси Amazon) був виявлений в одному з його GitHub-сховищ.
GitHub це онлайн версія системи контролю, яка використовується для спільної розробки програмного забезпечення. Вона працює, використовуючи центральне сховище, в якому знаходиться вихідний код програми.
Як тільки вони внесли щось своє в розробку проекту (змінивши або додавши новий системний код), програмісти можуть синхронізувати свій вихідний код з уже підключеним сховищем, а потім попросити його творця перемістити їх внесок в початкове сховище.
На жаль, деякі розробники нерозумно зберігають свої цифрові паролі в тих папках, які відкриті для доступу.
До тих пір поки GitHub сховище залишається закритим, ніхто інший не може бачити це. Але як тільки воно стає загальнодоступним, папка індексується пошуковими системами і хто завгодно може формувати в ній сховища і отримувати доступ до паролів.
Таке вже траплялося і раніше з цифровим сертифікатом SSH, який може дозволити хакерам отримати доступ на особистий комп'ютер розробника. Подібна ситуація трапилася і з Чедвиком. Він розповів:
«Проблема була такою ж (пов'язана зі сховищами GitHub), проте тип сертифіката SSH був іншим і відповідав за доступ до вже існуючих серверів».
Ці паролі були від програми Amazon і могли бути використані для створення нових віртуальних машин. Саме це зловмисник і зробив.
1427 серверних годин
Чедвік хотів зберегти дані машини з метою подальшого використання даного аргументу в суді, однак він відключив їх, так як не міг дозволити собі їх функціонування під час спілкування зі службою техпідтримки Amazon.
Безпечний для ЦП скрипт
Лайткоін використовує спеціальний механізм докази виконаної роботи під назвою Скрипт, який є безпечним до ЦП і стійкий до графічного процесора і інтегральних схем спеціального призначення. Завдяки цьому сервер типу EC2 є ідеальним для роботи, так як по максимуму використовує можливості ЦП.
Якщо злодіям не вдалося продати всі награбовані лайткоіни, то вони явно позбулися значної частини прибутку.
Чедвік вважає, що відстежити зловмисника буде зовсім не просто. «Хоч я і знаю, що у Амазону, як і у пулу, є свої записи, я впевнений, що хакер використовував систему Tor».