一名未经授权的黑客人员攻击了Docker Hub数据库,该数据库暴露了大约190,000名用户的敏感信息。这些敏感信息包括用户名、登陆密码,以及GitHub、Bitbucket的访问令牌。
存储在Docker Hub中的GitHub和Bitbucket访问令牌允许开发人员修改项目代码,并自动构建Docker Hub上的映像。但是,如果第三方获得对这些令牌的访问权限,则允许他们访问私有代码仓库,并可能根据存储在令牌中的权限对私有代码仓库进行修改。
由于Docker Hub镜像通常用于服务器配置和应用程序中,如果这些令牌被误用于修改代码、调整已构建的图像,则可能导致严重的供应链攻击。
虽然Docker声明他们已经撤销了所有已经暴露的令牌和访问密钥,但对于那些没有经过授权就进入查看项目仓库的开发者来说,影响仍然很大。更糟糕的是,由于这些通知在周五晚上推迟,开发人员可能需要花费一个漫长的夜晚来评估他们的代码。
此通知的全文已经发布到 Ycombinator's Hacker News(https://news.ycombinator.com/item?id=19763413)的黑客新闻上,读者可以查看公告全文。
2019年4月25日,我们发现了对存储非财务用户数据子集的单个Hub数据库的未授权访问。发现后,我们迅速采取行动干预并保护网站。
我们希望告知您我们已经调查到的内容:包括哪些Hub帐户受到影响,以及用户可以采取的应对措施。
以下是我们了解到的情况:
黑客攻击Docker Hub数据库的期间内,大约190,000个帐户的敏感数据可能已经暴露(少于5%的Hub用户)。泄露数据包括用户名和密码,以及自动构建的Github和Bitbucket令牌。
我们采取的行动:
- 我们要求用户更改在Docker Hub的密码以及其他使用此密码的账户。
- 对于具有可能受自动构建令牌影响的用户,我们已撤销GitHub令牌和访问密钥,并要求您重新连接到您的存储库并检查安全日志以查看是否发生了任何意外操作。
您可以在GitHub或BitBucket帐户上查看安全操作,以查看过去24小时内是否发生任何意外访问:
可能会影响您正在使用我们的自动构建服务的代码。您需要取消链接,然后重新链接您的Github和Bitbucket,如:
我们正在加强整体安全流程并检查我们的安全策略。增加了额外的监测工具。
我们的调查仍在进行中,我们将持续公布更多信息。
谢谢
附公告英文全文:
On Thursday, April 25th, 2019, we discovered unauthorized access to a single Hub database storing a subset of non-financial user data. Upon discovery, we acted quickly to intervene and secure the site.
We want to update you on what we've learned from our ongoing investigation, including which Hub accounts are impacted, and what actions users should take.
Here is what we’ve learned:
During a brief period of unauthorized access to a Docker Hub database, sensitive data from approximately 190,000 accounts may have been exposed (less than 5% of Hub users). Data includes usernames and hashed passwords for a small percentage of these users, as well as Github and Bitbucket tokens for Docker autobuilds.
Actions to Take:
- We are asking users to change their password on Docker Hub and any other accounts that shared this password.
- For users with autobuilds that may have been impacted, we have revoked GitHub tokens and access keys, and ask that you reconnect to your repositories and check security logs to see if any unexpected actions have taken place.
- You may view security actions on your GitHub or BitBucket accounts to see if any unexpected access has occurred over the past 24 hours -see https://help.github.com/en/articles/reviewing-your-security-log and https://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where
- This may affect your ongoing builds from our Automated build service. You may need to unlink and then relink your Github and Bitbucket source provider as described in https://docs.docker.com/docker-hub/builds/link-source/
We are enhancing our overall security processes and reviewing our policies. Additional monitoring tools are now in place.
Our investigation is still ongoing, and we will share more information as it becomes available.
Thank you,
Kent Lamb Director of Docker Support info@docker.com
原文链接:
相关阅读:
吐血总结:最为详细的Docker入门指南
中小团队基于Docker的DevOps实践
Docker:物理机vs虚拟机,五方面详细对比!
2019年云计算的10个重大预测
多云平台管理,你必须知道的6个好处!
RightScale 2019年云状况调查报告:35% 的云支出被浪费「附50页PDF下载」
2018年云计算九大趋势热词:Serverless、混合云、多云、中台、边缘计算等「附下载」
企业级PAAS云平台:不容忽视的几个关键问题和挑战
更多文章请关注
文章好看点这里[在看]👇
