我们的游戏秘密泄露在源版本控制系统中。几天后,我们的服务器遭到入侵,加密货币被盗。可能是相关的吗?
使用游戏秘密究竟可以做些什么?
假设攻击者没有最新的来源,但是旧版本和我们的服务器保密,他能做多少?到底是什么?
关于玩游戏秘密可以做些什么。 answer is in the documentation
任何可以访问该秘密的人都可以生成他们喜欢的任何会话,有效地允许他们以他们喜欢的任何用户身份登录您的系统。因此,强烈建议您不要将应用程序机密检查到源代码管理中。相反,它应该在您的生产服务器上配置。这意味着将生产应用程序保密在application.conf中被认为是不好的做法。
鉴于一个人可以得到一个会话并且可能以这种方式登录你的系统,我会说你的秘密很可能被盗,然后你的系统中的某些东西被盗了一段时间。也就是说,你可以告诉的唯一方法是审核系统的日志,试图找出问题。除了你能做到,我认为没有人。祝你好运!
您的数据可能已被更改,因为他可能会登录您的系统,因为他可以生成可以访问您的游戏秘密的会话(请参阅上面的答案)您可以尝试检查您的日志(只有noob将保留日志。
尝试阅读this获取更多见解,以防下次发生,请小心