Docker Hub發佈安全公告稱,其數據庫遭到了未經授權的黑客攻擊,大約有19萬用戶的敏感信息泄露,其中包括用戶名、登陸密碼及GitHub、Bitbucket的訪問令牌。
據悉,Docker Hub中的GitHub和Bitbucket訪問令牌允許開發人員修改項目代碼,並自動構建Docker Hub上的鏡像。一旦有人獲取到了這些令牌的訪問權限,就可以訪問私有代碼倉庫,甚至可以修改私有代碼倉庫。而Docker Hub鏡像通常用於服務器配置和應用程序,如果攻擊者利用泄露的令牌修改代碼或者已構建的鏡像,那麼可能會發生嚴重的供應鏈攻擊。
4月25日,Docker發現了對存儲非財務用戶數據子集的單個Hub數據庫的未授權訪問。26日,Docker向開發者發送了相關郵件,郵件內容顯示在發現數據泄露之後,Docker立刻採取了兩項行動,一是通知用戶更改在Docker Hub的密碼以及其他使用此密碼的賬戶;二是針對可能受到自動構建令牌影響的用戶,撤銷GitHub令牌和訪問密鑰,並通知用戶重新連接到存儲庫,並檢查安全日誌,查看是否發生了意外操作。
在GitHub或BitBucket帳戶上查看安全操作,確定是否發生了意外訪問:
https://help.github.com/en/articles/reviewing-your-security-log
https://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where
如果您正在使用自動構建服務的代碼,那麼可能需要取消鏈接,然後重新連接GitHub和BitBucket:
https://docs.docker.com/docker-hub/builds/link-source/
根據Docker發佈的郵件,這次受影響的19萬用戶只佔總用戶的5%。受影響的範圍雖然不算特別大,但是由於Docker Hub的用戶大部分是大企業內部員工,他們可能都在使用自動構建容器服務,且容器可能會被部署在實際生產環境中。如果這些員工沒有能夠及時重置賬號密碼,那麼該賬號下的自動構建服務就存在着極大的安全風險,很可能會被攻擊者植入惡意軟件。
Docker表示,“我們會加強整體安全流程並審覈我們的政策。另外,現在已經添加了額外的監測工具。”目前,該事件還在調查過程中,之後,Docker可能會分享更多細節。
相關文章:
近期數據泄露事件盤點:醫療信息、法律文件、個人隱私都在“裸奔”
數十家公司超 10 億數據泄露,如何避免?
超 2 億中國用戶簡歷曝光!MongoDB 又一重大安全事故
一個月 6 次泄露,爲啥大家用 Elasticsearch 總不設密碼?
一個月被曝五次數據泄露,ElasticSearch 還行不行?
在線賭場泄漏 1.08 億投注信息,ElasticSearch 再成禍首