Docker Hub 19万用户敏感数据泄露:包含GitHub令牌
技术
作者:社区
译者:小君君
2019-04-30 09:42

一名未经授权的黑客人员攻击了 Docker Hub 数据库,该数据库暴露了大约 190,000 名用户的敏感信息。这些敏感信息包括用户名、登陆密码,以及 GitHub、Bitbucket 的访问令牌。 

存储在 Docker Hub 中的 GitHub 和 Bitbucket 访问令牌允许开发人员修改项目代码,并自动构建 Docker Hub 上的镜像。但是,如果第三方获得对这些令牌的访问权限,则允许他们访问私有代码仓库,并可能根据存储在令牌中的权限对私有代码仓库进行修改。 

由于 Docker Hub 镜像通常用于服务器配置和应用程序中,如果这些令牌被误用于修改代码、调整已构建的图像,则可能导致严重的供应链攻击。 

虽然 Docker 声明他们已经撤销了所有已经暴露的令牌和访问密钥,但对于那些没有经过授权就进入查看项目仓库的开发者来说,影响仍然很大。更糟糕的是,由于这些通知在周五晚上推迟,开发人员可能需要花费一个漫长的夜晚来评估他们的代码。 

此通知的全文已经发布到 Ycombinator's Hacker News(https://news.ycombinator.com/item?id=19763413)的黑客新闻上,读者可以查看公告全文。 

2019 年 4 月 25 日,我们发现了对存储非财务用户数据子集的单个 Hub 数据库的未授权访问。发现后,我们迅速采取行动干预并保护网站。 

我们希望告知您我们已经调查到的内容:包括哪些Hub帐户受到影响,以及用户可以采取的应对措施。

以下是我们了解到的情况:

黑客攻击 Docker Hub 数据库的期间内,大约 190,000 个帐户的敏感数据可能已经暴露(少于 5% 的 Hub 用户)。泄露数据包括用户名和密码,以及自动构建的 Github 和 Bitbucket 令牌。我们采取的行动:

  • 我们要求用户更改在 Docker Hub 的密码以及其他使用此密码的账户。
  • 对于具有可能受自动构建令牌影响的用户,我们已撤销 GitHub 令牌和访问密钥,并要求您重新连接到您的存储库并检查安全日志以查看是否发生了任何意外操作。

您可以在 GitHub 或 BitBucket 帐户上查看安全操作,以查看过去24小时内是否发生任何意外访问:

-请访问https://help.github.com/en/articles/reviewing-your-security-log和https://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where

可能会影响您正在使用我们的自动构建服务的代码。您需要取消链接,然后重新链接您的 Github 和 Bitbucket,如:

https://docs.docker.com/docker-hub/builds/link-source/

我们正在加强整体安全流程并检查我们的安全策略。增加了额外的监测工具。我们的调查仍在进行中,我们将持续公布更多信息。谢谢

附公告英文全文:

On Thursday, April 25th, 2019, we discovered unauthorized access to a single Hub database storing a subset of non-financial user data. Upon discovery, we acted quickly to intervene and secure the site.

We want to update you on what we've learned from our ongoing investigation, including which Hub accounts are impacted, and what actions users should take.

Here is what we’ve learned:

During a brief period of unauthorized access to a Docker Hub database, sensitive data from approximately 190,000 accounts may have been exposed (less than 5% of Hub users). Data includes usernames and hashed passwords for a small percentage of these users, as well as Github and Bitbucket tokens for Docker autobuilds.

Actions to Take:

- We are asking users to change their password on Docker Hub and any other accounts that shared this password.

- For users with autobuilds that may have been impacted, we have revoked GitHub tokens and access keys, and ask that you reconnect to your repositories and check security logs to see if any unexpected actions have taken place.

- You may view security actions on your GitHub or BitBucket accounts to see if any unexpected access has occurred over the past 24 hours -see https://help.github.com/en/articles/reviewing-your-security-log and https://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where

- This may affect your ongoing builds from our Automated build service. You may need to unlink and then relink your Github and Bitbucket source provider as described in https://docs.docker.com/docker-hub/builds/link-source/

We are enhancing our overall security processes and reviewing our policies. Additional monitoring tools are now in place.

Our investigation is still ongoing, and we will share more information as it becomes available.

Thank you,

Kent Lamb Director of Docker Support info@docker.com

原文链接:

https://www.bleepingcomputer.com/news/security/docker-hub-database-hack-exposes-sensitive-data-of-190k-users/


181 comCount 0