写点什么

Docker 官方公共仓库 Docker Hub 遭攻击,19 万用户信息泄露

  • 2019-04-28
  • 本文字数:1012 字

    阅读完需:约 3 分钟

Docker官方公共仓库 Docker Hub 遭攻击,19万用户信息泄露

Docker Hub 发布安全公告称,其数据库遭到了未经授权的黑客攻击,大约有 19 万用户的敏感信息泄露,其中包括用户名、登陆密码及 GitHub、Bitbucket 的访问令牌。


据悉,Docker Hub 中的 GitHub 和 Bitbucket 访问令牌允许开发人员修改项目代码,并自动构建 Docker Hub 上的镜像。一旦有人获取到了这些令牌的访问权限,就可以访问私有代码仓库,甚至可以修改私有代码仓库。而 Docker Hub 镜像通常用于服务器配置和应用程序,如果攻击者利用泄露的令牌修改代码或者已构建的镜像,那么可能会发生严重的供应链攻击。



4 月 25 日,Docker 公司发现了对存储非财务用户数据子集的单个 Hub 数据库的未授权访问。26 日,Docker 公司向开发者发送了相关邮件,邮件内容显示在发现数据泄露之后,Docker 公司立刻采取了两项行动,一是通知用户更改在 Docker Hub 的密码以及其他使用此密码的账户;二是针对可能受到自动构建令牌影响的用户,撤销 GitHub 令牌和访问密钥,并通知用户重新连接到存储库,并检查安全日志,查看是否发生了意外操作。


在 GitHub 或 BitBucket 帐户上查看安全操作,确定是否发生了意外访问:


https://help.github.com/en/articles/reviewing-your-security-log


https://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where


如果您正在使用自动构建服务的代码,那么可能需要取消链接,然后重新连接 GitHub 和 BitBucket:


https://docs.docker.com/docker-hub/builds/link-source/


根据 Docker 公司发布的邮件,这次受影响的 19 万用户只占总用户的 5%。受影响的范围虽然不算特别大,但是由于 Docker Hub 的用户大部分是大企业内部员工,他们可能都在使用自动构建容器服务,且容器可能会被部署在实际生产环境中。如果这些员工没有能够及时重置账号密码,那么该账号下的自动构建服务就存在着极大的安全风险,很可能会被攻击者植入恶意软件。


Docker 公司表示,“我们会加强整体安全流程并审核我们的政策。另外,现在已经添加了额外的监测工具。”目前,该事件还在调查过程中,之后,Docker 公司可能会分享更多细节。


相关文章:


近期数据泄露事件盘点:医疗信息、法律文件、个人隐私都在“裸奔”


数十家公司超 10 亿数据泄露,如何避免?


超 2 亿中国用户简历曝光!MongoDB 又一重大安全事故


一个月 6 次泄露,为啥大家用 Elasticsearch 总不设密码?


一个月被曝五次数据泄露,ElasticSearch 还行不行?


在线赌场泄漏 1.08 亿投注信息,ElasticSearch 再成祸首


2019-04-28 11:315050
用户头像

发布了 497 篇内容, 共 322.6 次阅读, 收获喜欢 1919 次。

关注

评论

发布
暂无评论
发现更多内容

随手记

InfoQ_0d79a8bcf933

数据结构与算法

Dell G7 指纹识别设备 - Goodix fingerprint 失效官方解决办法(图文)

Saint_X

硬件

特性预览:Apache 顶级项目 Apache Pulsar 2.6.1 版本即将发布

Apache Pulsar

Apache Apache Pulsar 消息系统

CentOS7 开启3306端口

暴躁小李K

Centos 7 Firewalld防火墙 Liunx

DB-Engines 8 月数据库排名:Redis悄悄拔高,猛超Elasticsearch

华章IT

MySQL 数据库 redis Clickhouse SQL优化

Apache Pulsar 社区周报:08-08 ~ 08-14

Apache Pulsar

Apache Apache Pulsar 消息系统

区块链在新冠病毒爆发中将加速发展

CECBC

区块链技术 供应链 食品追溯

写作只是消遣?

Geek_db1689

写作 讨论写作 自我感悟 瞎想乱写

免费开源看板软件Wekan安装与使用记录

emuqi

Docker 效率工具 wekan 看板 任务管理

firewalld 常用指令

wong

Firewalld

自从有了语音开黑小能手,队友再也不会骂我了!

anyRTC开发者

WebRTC 在线教育 直播 RTC RTMP

别人家的 DevOps 流水线,价值一个亿

Atlassian

DevOps 数字化转型 金融 Jira 数字银行

辗转相除法求最大公约数(C语言实现)

InfoQ_3f366696ed0c

C语言

企业品尝新基建的美酒前,需要名为NetEngine 8000的酒杯

脑极体

Python中的bytes、str以及unicode区别

王坤祥

Python Python PEP

简单交互式页面的思考(C)

Alex

指针 C语言 交互设计

STM32-ADC简单学习笔记

 

为什么考研,考研能给你带来什么?说说我的感受!

我是程序员小贱

区块链政策区域特征分明 产业园区渐成聚集效应

CECBC

区块链 新基建

谈一谈Kuberflow

soolaugust

tensorflow 学习 kubeflow Kubernetes 云原生

全站加速在互联网媒体应用上的最佳实践

阿里云Edge Plus

CDN

小白程序员成长之路-准备篇

Mr.Cactus

盲打练习 在线打字

量纲分析(Dimensional Analysis)入门

InfoQ_b5c13aa54782

数学 基础 物理 量纲分析 电磁

局域网文件共享

冰糖雪梨多冰少糖

局域网共享 iPad air3 文件传输

架构设计篇之云计算服务设计与决策

小诚信驿站

云计算 刘晓成 企业架构和云服务 SaaS/IaaS/PaaS

数据库快速迁移10亿级数据

架构师修行之路

高并发系统设计 数据库优化

低/零代码干掉了传统的开发模式

代码制造者

编程语言 低代码 零代码 信息化 编程开发

集成学习方法及应用,破解AI实践难题

博文视点Broadview

人工智能 学习 AI 周志华

Android |《看完不忘系列》之Retrofit

哈利迪

android

用python给女朋友做一个歌曲词云图

我是程序员小贱

兄弟,不要偷看人家摄像头

我是程序员小贱

Docker官方公共仓库 Docker Hub 遭攻击,19万用户信息泄露_容器_田晓旭_InfoQ精选文章