Andy 译 分布式实验室 

Docker Hub数据库遭黑客入侵,19万用户敏感数据泄露_Java

Docker Hub数据库遭遇未授权人士访问,并导致约19万用户的敏感信息曝光在外。这批信息包含一部分用户名与散列密码,以及GitHub与Bitbucket存储库的登录令牌。
根据本周五晚发布的安全通知,Docker公司于2019年4月25日发现Docker Hub数据库的未授权访问活动。
在进行调查之后,研究人员确定该数据库当中包含大约19万名用户的信息。此信息包含用于Docker autobuild的GitHub与Bitbucket存储库的访问令牌,外加一小部分用户的用户名与密码。
Docker公司发送给用户的通告:Docker Hub数据库遭黑客入侵,19万用户敏感数据泄露_Java_02



存储在Docker Hub当中的GitHub与Bitbucket访问令牌允许开发人员修改自己的项目代码,并对Docker Hub上的镜像进行后续自动构建——即autobuild。如果任何第三方得以访问这些令牌,则将获得同样的权限,包括访问私有存储库代码,并根据相应存储令牌的权限执行修改操作。
虽然在声明当中,Docker公司表示他们已经撤销了全部外泄的令牌与访问密钥,但对于利用Docker Hub autobuild检查项目的开发人员来讲,也意味着他们将无法及时检查项目存储库是确认是否存在未授权访问活动。更糟糕的是,由于通告在本周晚才正式发布,因此开发人员可能需要熬夜对自己的代码进行整体评估。
下面,我们一同来看Ycombinator’s Hack News上发布的用户接收到的完整通告内容。2019年4月25日星期四,我们发现某负责存储部分财务用户数据的单一Hub数据库遭到未授权访问。在发现问题之后,我们迅速采取行动介入干预,并对网站实施保护。
我们希望向大家介绍我们从当前调查工作当中了解到的内容,包括有哪些Hub账户受到影响,以及用户应当采取的应对性措施。
以下是我们了解到的情况:
在Docker Hub数据库遭到未授权访问的短暂周期之内,可能有约19万个账户的敏感数据遭到外泄(占全部Hub用户中的5%以下)。曝光数据包括一小部分用户的用户名与散列密码,以及Docker autobuild的GitHub与Bitbucket令牌。
建议您采取的措施:
  • 我们提醒在其它账户当中重复使用Docker Hub密码内容的用户尽快更改密码。

  • 对于可能受到影响的autobuild用户,我们已经撤销了GitHub令牌与访问密钥,并提醒您重新接入您的存储库以检查安全日志,从而判断其中是否存在任何异常操作。

  • 您可以在自己的GitHub或者BitBucket账户上查看安全操作,以判断过去24小时之内是否存在任何意外访问活动——详见:

    https://help.github.com/en/articles/reviewing-your-security-log以及https://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where。

  • 这可能会影响到您利用我们自动构建服务进行的持续构建操作。

    您可能需要取消链接,而后重新链接至您的GitHub与Bitbucket源提供程序,具体请访问:

    https://docs.docker.com/docker-hub/builds/link-source/。


我们正在加强整体安全流程并审核自身策略,同时亦部署了额外监控工具以保障安全。
我们的调查仍在进行当中,并将在获得新进展后第一时间与您分享更多细节。感谢您的理解。
Docker技术支持主管Kent Lamb,Info@docker.com我们已经向Docker方面提出一系列相关问题,但截至发稿之时尚未得到任何回复。
原文链接:https://www.bleepingcomputer.com/news/security/hacked-docker-hub-database-exposed-sensitive-data-of-190k-users/