写点什么

Docker 官方公共仓库 Docker Hub 遭攻击,19 万用户信息泄露

  • 2019-04-28
  • 本文字数:1012 字

    阅读完需:约 3 分钟

Docker官方公共仓库 Docker Hub 遭攻击,19万用户信息泄露

Docker Hub 发布安全公告称,其数据库遭到了未经授权的黑客攻击,大约有 19 万用户的敏感信息泄露,其中包括用户名、登陆密码及 GitHub、Bitbucket 的访问令牌。


据悉,Docker Hub 中的 GitHub 和 Bitbucket 访问令牌允许开发人员修改项目代码,并自动构建 Docker Hub 上的镜像。一旦有人获取到了这些令牌的访问权限,就可以访问私有代码仓库,甚至可以修改私有代码仓库。而 Docker Hub 镜像通常用于服务器配置和应用程序,如果攻击者利用泄露的令牌修改代码或者已构建的镜像,那么可能会发生严重的供应链攻击。



4 月 25 日,Docker 公司发现了对存储非财务用户数据子集的单个 Hub 数据库的未授权访问。26 日,Docker 公司向开发者发送了相关邮件,邮件内容显示在发现数据泄露之后,Docker 公司立刻采取了两项行动,一是通知用户更改在 Docker Hub 的密码以及其他使用此密码的账户;二是针对可能受到自动构建令牌影响的用户,撤销 GitHub 令牌和访问密钥,并通知用户重新连接到存储库,并检查安全日志,查看是否发生了意外操作。


在 GitHub 或 BitBucket 帐户上查看安全操作,确定是否发生了意外访问:


https://help.github.com/en/articles/reviewing-your-security-log


https://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where


如果您正在使用自动构建服务的代码,那么可能需要取消链接,然后重新连接 GitHub 和 BitBucket:


https://docs.docker.com/docker-hub/builds/link-source/


根据 Docker 公司发布的邮件,这次受影响的 19 万用户只占总用户的 5%。受影响的范围虽然不算特别大,但是由于 Docker Hub 的用户大部分是大企业内部员工,他们可能都在使用自动构建容器服务,且容器可能会被部署在实际生产环境中。如果这些员工没有能够及时重置账号密码,那么该账号下的自动构建服务就存在着极大的安全风险,很可能会被攻击者植入恶意软件。


Docker 公司表示,“我们会加强整体安全流程并审核我们的政策。另外,现在已经添加了额外的监测工具。”目前,该事件还在调查过程中,之后,Docker 公司可能会分享更多细节。


相关文章:


近期数据泄露事件盘点:医疗信息、法律文件、个人隐私都在“裸奔”


数十家公司超 10 亿数据泄露,如何避免?


超 2 亿中国用户简历曝光!MongoDB 又一重大安全事故


一个月 6 次泄露,为啥大家用 Elasticsearch 总不设密码?


一个月被曝五次数据泄露,ElasticSearch 还行不行?


在线赌场泄漏 1.08 亿投注信息,ElasticSearch 再成祸首


2019-04-28 11:315243
用户头像

发布了 497 篇内容, 共 331.2 次阅读, 收获喜欢 1925 次。

关注

评论

发布
暂无评论
发现更多内容

架构师训练营第 8 周作业

netspecial

极客大学架构师训练营

第八章作业

alpha

极客大学架构师训练营

《Web应用安全权威指南》.pdf

田维常

腾讯强推Redis成长手册!原理+应用+集群+拓展+源码五飞

小Q

Java redis 学习 架构 面试

JVM真香系列:图解垃圾回收器

田维常

JVM 垃圾回收

第八周课后练习

knight

《身边的金钱心理学》

石云升

训练营第四周作业

大脸猫

极客大学架构师训练营

架构师训练营 第四周作业

文江

架构师训练营第 8 周学习总结

netspecial

极客大学架构师训练营

【JAVA】TreeSet, LinkedHashSet和HashSet差异对比

笑春风

网络时间协议介绍以及服务器同步网络时间

MySQL从删库到跑路

ntp 时间同步

年轻人的第一个MyBatis项目就要这样来学习,不走弯路

小Q

Java 学习 架构 面试 mybatis

作业-第4周总结

arcyao

python+requests进行get、post方法接口测试

测试人生路

Python 接口测试

【可下载】2020年底收官!为大家整理了物联网行业全面研究报告、行业洞察、白皮书……

IoT云工坊

人工智能 大数据 5G 物联网 智能家居

家谱链亮相高交会,点亮“区块链+文化”融合发展之路

13530558032

高交会:高新企业源中瑞在此出展区块链BAAS技术

13530558032

训练营第四周总结

大脸猫

极客大学架构师训练营

架构师训练营第 1 期 - 第八周总结

Todd-Lee

极客大学架构师训练营

第四周作业

Jack

第八周总结

alpha

极客大学架构师训练营

“区块链+营销”:科技力量助力行业前行

CECBC

市场营销

分分钟玩转SpringBoot自定义注解

比伯

Java 大数据 编程 架构 编程语言

成为架构师 - 架构师训练营第 04周

陈永龙Vincent

【Mycat】Mycat核心开发者带你轻松掌握Mycat路由转发!!

冰河

分布式 微服务 分库分表 中间件 mycat

区块链治理的真实价值在哪里

CECBC

区块链 治理 治理机制

苏州崛起为我国区块链产业高地

CECBC

区块链 社区矫正

极客大学架构师训练营第一期第八周总结

睡不着摇一摇

架构师一期

“懂行”的价值循环与蝴蝶风暴

脑极体

腾讯强推Redis大神之路成长手册!原理+应用+集群+拓展+源码五篇齐飞

Java架构追梦

Java 数据库 redis 架构 面试

Docker官方公共仓库 Docker Hub 遭攻击,19万用户信息泄露_容器_田晓旭_InfoQ精选文章