UTC 6月5日更新0120–我们想澄清，此帖子中共享的所有客户详细信息都已事先获得客户批准。如果没有快递，我们永远不会分享这样的公司信息许可。原件post 5月29日，DigitalOcean customer raiseup的帐户被锁定，由于我们的反欺诈和滥用自动化系统生成的假阳性，他们的资源被关闭。在处理误报的后续过程中，导致了随后的锁定，并向客户发送了永久拒绝访问该帐户的通信。该账户所有者利用Twitter作为一个途径，提醒人们注意这个错误。此后不久，DigitalOcean调查了这个问题，募捐账户被解锁并重新启动。我们想向你道歉并分享更多的细节发生了。那个附带的是，初始帐户锁定和资源断电是由一个自动服务引起的，该服务监视加密货币挖掘活动（droppet CPU负载和Droplet create behaviors）。这些信号，再加上许多帐户级别的信号（包括支付历史记录和当前运行率与总付款额的比较），用于确定是否有必要采取自动操作，以将潜在的欺诈性高cpu负载对其他客户的影响降到最低。在对账户采取任何行动之前，会检查自动保险箱，以避免对信誉良好的客户采取行动警告。很不幸在这种情况下，安全措施不足以阻止自动操作。此外，由于客户是赊账的，他们没有明确的付款历史记录，这意味着其中一个主要安全措施（付款历史记录）没有被触发。自动化服务代表客户创建了一个支持票证，以允许与行动。根据客户意识到自己的资源已被关闭，帐户已被锁定，于是回复了为通信而创建的票证。滥用操作代理在初始罚单12小时后重新启用了帐户。但是，发生了一个错误，代理没有将帐户标记为已批准进行CPU密集型活动，这是导致初始的原因旗子。开5月30日，由于没有安全标志，同一自动服务再次对该账户采取行动。在另一个滥用操作代理进行第二次审查（在客户响应第二个标志后将近29小时），该代理未能识别这是一个误报，该代理完全拒绝访问该帐户。此操作触发了与客户的最终"拒绝访问"通信。此时，该客户发起了一系列的tweet，以获得数字海洋。之后进一步调查飞沫被重新接通电源，重新进入账户，并标记适当的保险箱。DigitalOcean领导层主动与客户沟通，向客户致歉，提供信贷，并充分解释解决问题。时间轴事件2019-05-29 16:43 UTC–客户创建一批10个液滴，在所有新的工作液滴中快速产生~100%的CPU负载。2019-05-29 18:24 UTC–加密货币挖掘缓解检测到可疑行为，包括在没有支付历史记录的帐户上使用非常高的CPU，这会导致帐户锁定。作为此锁定的一部分，将代表客户自动创建支持票证。2019-05-29 18:37 UTC–客户回复票证并请求解锁。2019-05-30 06:43 UTC–由于客户在社交媒体和支持上伸出援手，因此将采取行动。支援将问题转移到虐待行动。帐户是由响应滥用操作代理解锁的，并在客户响应12小时后通过电子邮件发送回复。Allow High Cpu Usage（允许高Cpu使用率）标志未设置为解锁的一部分。2019-05-30 09:49 UTC–当同一个工作人员液滴上的Cpu使用率上升到100%时，在客户重新启动其Drops后的三个小时内，帐户被密码货币缓解锁定并关闭。客户在20分钟内回复新的验证支持票证。2019-05-31 15:32 UTC–客户回复后29小时，拒绝重新激活帐户。滥用操作代理（与初始代理不同）引用通过共享SSH密钥连接的旧帐户的链接，作为做出拒绝访问决定的额外理由。2019-05-31 19:21 UTC–社交升级导致帐户被解锁/重新启动。2019-05-31–多渠道通信（Twitter，HackerNews，其他媒体）提供道歉和澄清情况。DO员工直接联系客户，向其道歉、了解情况并提供信用。2019-06-01–客户对直接联系做出回应，确认道歉。钥匙调查结果和担忧这种情况涉及到人员、流程和，还有t技术：技术安全旨在防止欺诈和滥用算法对一个健康、无虐待的客户采取自动操作，对于缺乏付款的客户来说是不够的历史记录.ProcessResponse给客户的时间段是12小时，然后是29小时，对于后续的锁也是远远的长时间响应帐户锁没有从票务管理的角度来看，优先次序不同于不太严重的问题票。那个DigitalOcean最初在Twitter上的回应没有意识到可能造成的危害，也没有对客户表示同情情况。那个关于拒绝访问该帐户的沟通会产生一种无助感无解释的终结性要求纠正人的过程对于添加Allow High CPU Utilization，安全标志不是遵循指南对于报告的假阳性判断不清，导致了否定访问。未来一些问题和失误导致了这一事件的发生。为防止今后发生类似事件，我们正在考虑以下几点措施：同行评审账户终止。对于任何对锁定提出上诉的账户，在发布最终版本之前，需要两名代理对提交的文件进行审查拒绝。那个帐户拒绝中用于响应的模板将被完全删除。如果在上诉期间帐户访问被拒绝，这通常是因为大多数上诉都是真正的坏角色，代理必须创建一个合理的响应。服务这导致资源断电将不再自动对任何帐户采取行动，无论是否缺少支付历史记录，对于90天以上的客户。这些案例将升级为手动复习。我们将重新讨论如何处理与欺诈和虐待相关的问题推特。什么时候代理手动选择解锁帐户，则该帐户将应用安全设置以忽略自动安全，在指定时间段内提供欺诈和滥用服务（时间待定）。为解决账户锁定上诉的延期问题，支持和安全运营领导层将创建新的工作流程，允许与滥用相关的事件利用支持。附加已批准为支持人员和AbuseOps招聘人员，以减少排队等候的票务时代。服务已经在开发集中安全装置以防欺诈和滥用自动化。最后, 我们将回顾我们如何在内部系统和服务中共享有关帐户的信息，以便更好地将预期的和意外的帐户背景化行为。在结论我们希望尽快准确地分享这起事件的具体细节，让社区了解发生了什么以及我们是如何做到的处理好了。我们认识到这对客户造成的影响，以及这如何代表对社区信任的违背，对此我们深表歉意。我们有许多改进技术、流程和人员失误的建议，这些都是导致这次失败的原因。DigitalOcean的整个团队都重视并始终致力于开发者。巴里CooksChief技术官