歡迎光臨
每天分享高質量文章

Docker Hub資料庫遭駭客入侵,19萬使用者敏感資料洩露

Docker Hub資料庫遭遇未授權人士訪問,並導致約19萬使用者的敏感資訊曝光在外。這批資訊包含一部分使用者名稱與雜湊密碼,以及GitHub與Bitbucket儲存庫的登入令牌。
根據本週五晚釋出的安全通知,Docker公司於2019年4月25日發現Docker Hub資料庫的未授權訪問活動。
在進行調查之後,研究人員確定該資料庫當中包含大約19萬名使用者的資訊。此資訊包含用於Docker autobuild的GitHub與Bitbucket儲存庫的訪問令牌,外加一小部分使用者的使用者名稱與密碼。
Docker公司傳送給使用者的通告:

儲存在Docker Hub當中的GitHub與Bitbucket訪問令牌允許開發人員修改自己的專案程式碼,並對Docker Hub上的映象進行後續自動構建——即autobuild。如果任何第三方得以訪問這些令牌,則將獲得同樣的許可權,包括訪問私有儲存庫程式碼,並根據相應儲存令牌的許可權執行修改操作。
雖然在宣告當中,Docker公司表示他們已經撤銷了全部外洩的令牌與訪問金鑰,但對於利用Docker Hub autobuild檢查專案的開發人員來講,也意味著他們將無法及時檢查專案儲存庫是確認是否存在未授權訪問活動。更糟糕的是,由於通告在本週晚才正式釋出,因此開發人員可能需要熬夜對自己的程式碼進行整體評估。
下麵,我們一同來看Ycombinator’s Hack News上釋出的使用者接收到的完整通告內容。
2019年4月25日星期四,我們發現某負責儲存部分財務使用者資料的單一Hub資料庫遭到未授權訪問。在發現問題之後,我們迅速採取行動介入幹預,並對網站實施保護。
我們希望向大家介紹我們從當前調查工作當中瞭解到的內容,包括有哪些Hub賬戶受到影響,以及使用者應當採取的應對性措施。
以下是我們瞭解到的情況:
在Docker Hub資料庫遭到未授權訪問的短暫週期之內,可能有約19萬個賬戶的敏感資料遭到外洩(佔全部Hub使用者中的5%以下)。曝光資料包括一小部分使用者的使用者名稱與雜湊密碼,以及Docker autobuild的GitHub與Bitbucket令牌。
建議您採取的措施:
  • 我們提醒在其它賬戶當中重覆使用Docker Hub密碼內容的使用者儘快更改密碼。
  • 對於可能受到影響的autobuild使用者,我們已經撤銷了GitHub令牌與訪問金鑰,並提醒您重新接入您的儲存庫以檢查安全日誌,從而判斷其中是否存在任何異常操作。
  • 您可以在自己的GitHub或者BitBucket賬戶上檢視安全操作,以判斷過去24小時之內是否存在任何意外訪問活動——詳見:

    https://help.github.com/en/articles/reviewing-your-security-log以及https://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where。

  • 這可能會影響到您利用我們自動構建服務進行的持續構建操作。

    您可能需要取消連結,而後重新連結至您的GitHub與Bitbucket源提供程式,具體請訪問:

    https://docs.docker.com/docker-hub/builds/link-source/。

我們正在加強整體安全流程並審核自身策略,同時亦部署了額外監控工具以保障安全。
我們的調查仍在進行當中,並將在獲得新進展後第一時間與您分享更多細節。
感謝您的理解。
Docker技術支援主管Kent Lamb,Info@docker.com
我們已經向Docker方面提出一系列相關問題,但截至發稿之時尚未得到任何回覆。
原文連結:https://www.bleepingcomputer.com/news/security/hacked-docker-hub-database-exposed-sensitive-data-of-190k-users/

已同步到看一看
贊(0)

分享創造快樂