GCPで約800万円の請求がきた話｜mun｜note

新型コロナウイルス感染症については、必ず1次情報として 厚生労働省 や 首相官邸 のウェブサイトなど公的機関で発表されている発生状況やQ&A、相談窓口の情報もご確認ください。※非常時のため、すべての関連記事に本注意書きを一時的に出しています。 はじめにエンジニア5年目くらいでフリーランス3年目でスマホアプリ以外はなんとか作れるような感じのエンジニアです。 普段僕は開発にGCPを使っています。本番にもデモの公開にも、気軽に使っていました。 無料枠もあるし、適当に使っても毎月少ししか請求がない程度しか僕の使い方では課金されないし。GCPを舐めきっていました。 事件の発覚した時Googleから今月のGCPの使用料のメールがきていました。ですが、普段数百円なのであまり気にせずスルーしていました。 ちらっとメールを見ると、雰囲気がいつもと違うメールでした。請求が正常に完了していないので、請求先のカー

[sechs]

斧を投げると今後このような赤裸々な情報が全くでなくなるから情報公開を褒めるのが吉。よく公開してくれた。

[gowithyou]

GitHubなんだろうけど、Gitと略しちゃっているあたり、いろいろ仕事が甘い人なんだろうなとしか思わなかった。

[shiketanotsuna]

この手の例って無数にあるがほぼ2度目はないぞって言われてセーフで2度目起きたというのが見たい。

[workingasadog-kt]

自分でキーを流出させて、実際にマイニングでリソース使いまくられたのに、無料で許してくれるのか…Google優しい

[shinagaki]

github を git って呼んでるの、wikipedia を wiki と略すなみたいな論争になりそう

[Windymelt]

なんとかなって良かった / 普通に失礼なコメントがあるな。仕事が甘い人だろうなって知らない人に使う言葉じゃないと思うけれど。

[zu2]

上限制限とかプリペイドが実装されないのはなぜだろう

[TMCNE]

githubをgitと呼ぶのは麻婆豆腐を豆腐と呼ぶようなもの

[salamander_jp]

クレカ不要のプリペイド式クラウドがあるといいと思う。クレカ登録は精神衛生上よろしくない

[hirolog634]

失敗を公開するのは良いが、結果的に救われたという話で終わらず「原因」をより具体的に書かないと役に立たない。あと、ブコメの「GIｔHub」が気になってしょうがない。

[drumsco]

アカウント、アクセスキー は、リポジトリに登録しないこと。

[spiral]

知らない人だろうがこれは「甘い」．少なくともセキュリティに係る案件で仕事を任せられない．言われたくないなら晒すな．

[diveintounlimit]

APIキーの流出とか課金上限設定とか今まで死ぬほど何度も言われている事だと思うが、これを褒めるべきというのはよく分からないな。単純に脇が甘いと思った。

[KoshianX]

ひー、キーが流出してマイニングに利用されたとかめっちゃこわいな……

[Nyoho]

“サービスアカウントのキーが流出していたらしいのです。おそらく、適当に管理していたプロジェクトだったのでGitに公開していたものに紛れていたのだと思われます。”

[degucho]

キー漏らししてたらセキュリティ対策も何もないのでは？悪人側はうっかりさんクローラとか作ってそう

[daira4000]

キーを公開して悪用されるのめちゃよくある話なので機械的にチェックする仕組みが必要

[kyax]

絶対にやんないけどさ〜公開リポジトリに鍵を一瞬上げて、Tor経由で鍵拾って好き放題マイニングして利益ゲットできちゃうじゃん。いやスマホアプリ以外なら作れる位ハイレベルだしこれもうやってるのでは……？

[daishi_n]

キーを公開レポジトリにお漏らしして脂肪はもう7年以上前から問題になってるのに未だにnoteに書くやつがいるのか。AWSならIAM role使えばキーもいらん

[regularexception]

こういう人ってたいてい、「一回メールを無視する」「キーを公開」「上限設定をしない」ってするよね。なんでだろ

[reannkara]

良かった。

[namelaw]

うーん、オンプレw

[zoaxult]

利用料の上限設定のこと話している人いるけど、利用料のアラート設定は可能。上限超えたら利用停止してほしい気持ちはわかるけど、それでDBのデータ削除やインスタンス削除されるようなのは逆に怖くないか。

[theatrical]

そろそろ、「GCPで約800万円の請求が来たけど、サービスが1億利益出たので余裕で払えました。」みたいなマウントが見たい。

[tiadeen2]

「二度目は無い」に「許してヒヤシンス」とテヘペロするためには前回紐付けた住所を変えるとかで対応できるだろうか？ Googleからの夜逃げ。

[wiii_na]

内容より「 新型コロナウイルスに関係する内容の可能性がある記事です。」っていうnoteからの警告が気になった。コロナって単語入ってたら出るのかな

[deep_one]

天井付けられないの？／コメントを見て。プログラムを組んでとめることはできるが、システム自体にはアラート機能しかついてないらしいな。

[sakuya_little]

マイニングしてた奴が死んでないのが残念。そっちに800万円の請求つけてやりたい。

[akahigeg]

“二度目は無い、というメッセージ”クールだ。しかしコワイ

[decobisu]

ひぇ

[yokochie]

予算アラート設定しないと……

[knok]

失敗事例の公開は大歓迎。しかし「二度目はない」のね。まあそうりゃそうなんだろうけど

[Wafer]

この手のは飽きた。しっかり800万払ったエントリを読みたい

[quality1]

プリペイドカード登録したらどうなるんだろ？弾かれちゃう？

[maiani]

しょーもない言葉狩りはもうええやん。この記事見て「あぁgithub/gitlab/bitbucketとか何かしらの公開リポジトリにpushしてたんやな」って普通にわかるでしょ。

[rax_2]

タイトル見て使用状況確認してしまった勢だが…　あれ、請求の上限アラート効いてないの？一応怖いからガチガチに設定しているんだけど…

[ludwig125]

クラウドサービス怖いよね。自分のサービスだとしても、金使ってるつもりが限りなく薄いまま課金される類のものだと思う

[tossy_yukky]

800万はギネスｗ…だけど別に笑ってもいられないから後で諸々アラート見直そう…

[everybodyelse]

サービスアカウントのキーが使われたっぽいって、それ原因ちゃんと調べないと同じことやらかすんじゃね？

[dot]

githubはAWSのsecret keyをpushすると危険があぶないぞ！と教えてくれる機能があったと思うけど、GCPのは対応してないのかな。