@broad
Mastodon的S3 ACL默认是public-read，
有些对象存储服务，对象上传时指定的ACL是最高的，不受桶ACL影响。
如有需要，Mastodon环境变量加上一行"S3_PERMISSION=private"。
文档没写，是个非常大的坑。

@official @chasedream1129
cos的统计延迟实在是比较高 我们俩几乎都是 一收到异常流量告警 就处理了 但是依旧很惨重（主要是因为腾讯云权限配置没生效所以损失了这么多 但从开始被刷到我们收到邮件有大概20分钟… 这段时间流量大概是找不回了）

@holgerhuo @chasedream1129 我回过头看日志，好像有也被什么奇怪的流量刷过的痕迹，但主要在刷的是动态页面，静态资源也有被刷，但似乎没有刷动。
感觉腾讯云，这个叫 COS 的对象储存产品逻辑就有问题，暴露桶的地址已经算是 BUG 了，计费也全是问题，真是叫人不敢放心用。
之前和腾讯云尝试合作一个商业项目，BaaS 方向，也是发现对计费、鉴权方面极不敏感，很让人害怕。感觉这么大一个厂家，搞得像只知道做技术的小作坊，没有人做产品的感觉。

@official @chasedream1129
感觉中文站都被它搞过了 不知道这人什么心理
看来还是我们俩一开始防御做的不太好😂 那个存储桶配置确实有点太开放了

腾讯云在国内算是比较年轻的云平台 可能经验确实不大足
但应该也还靠得住 他们的工程师昨天半夜3点还在回复工单（可能所有的工程师都逃不过这个命运orz）

@board
钱不知道花在哪里可以捐给有需要的人
人民币不是用来浪费的

@sora 四位受害者，除了本站都是个人向的小站...
这和商业扯的上关系吗...

@chasedream1129 这就有点奇怪了，想不透黑客图的什么。

@sora @chasedream1129 有司的人给自己增加工作量。（
不过这么说的话，本站才是更“好”的目标吧。

@chasedream1129 让你损失惨重岂不是顺了攻击者的意，用捐款每人出一点不痛不痒是最好的反击

@casouri @chasedream1129 或者也可以单独开一个新的捐助途径？