Недавно је тим Доцкер је издао безбедносни савет да најави неовлашћени приступ бази података Доцкер Хуб-а од стране неидентификоване особе. Тим Доцкера постао је свестан упада који је трајао само кратак период 25. априла 2019.
База података Доцкер Хуб изложио осетљиве информације за приближно 190,000 корисника, укључујући хеширана корисничка имена и лозинке, као и токени за ГитХуб и Битбуцкет спремишта чија употреба коју не препоручује трећа страна може угрозити интегритет спремишта кода.
Према Доцкеровом мишљењу, информације у бази података укључивале су токене за приступ ГитХуб и Битбуцкет репозиторијумима који се користе за аутоматску компилацију кода у Доцкер Хуб-у, као и корисничка имена и лозинке у малом проценту корисника: 190,000 корисничких налога Представљају мање од 5% корисника Доцкер Хуб-а.
У ствари, Приступни кључеви ГитХуб и Битбуцкет ускладиштени у Доцкер Хуб-у омогућавају програмерима да модификују свој пројектни код и аутоматски компајлира слику у Доцкер Хуб.
Апликације погођених могу се изменити
Потенцијални ризик за 190,000 корисника чији су рачуни били изложени је да ако нападач добије приступ њиховим приступним токенима, могли бисте добити приступ њиховом приватном спремишту кода које би они могли изменити на основу дозвола сачуваних у токену.
Међутим, ако се код промени из погрешних разлога и примењују се угрожене слике, ово би могло довести до озбиљних напада на ланац снабдевањапошто се слике Доцкер Хуб-а обично користе у серверским апликацијама и конфигурацијама.
У вашем безбедносном савету објављеном у петак увече, Доцкер је рекао да је већ опозвао све токене и приступне тастере на екрану.
Доцкер је такође рекао да побољшава свеукупне сигурносне процесе и преиспитује своје политике. Такође је најавио да су нови алати за надзор сада на снази.
Међутим, важно је да програмери, који су користили аутоматску изградњу Доцкер Хуб-а, проверите да ли су у складиштима пројеката неовлашћен приступ.
Ево савета о безбедности које је Доцкер објавио у петак увече:
У четвртак, 25. априла 2019, открили смо неовлашћени приступ јединственој бази података Хуб која чува подскуп некорисничких података. финансијске Након открића, брзо реагујемо на интервенцију и заштиту локације.
Желимо да вас обавестимо шта смо научили из наше текуће истраге, укључујући и то на које рачуне Доцкер Хуб-а то утиче и које радње корисници треба да предузму.
Ево шта смо научили:
Током кратког периода неовлашћеног приступа бази података Доцкер Хуб-а, можда су били изложени осетљиви подаци са приближно 190,000 налога (мање од 5% корисника Хуб-а).
Подаци укључују хеширана корисничка имена и лозинке малог процента ових корисника, као и Гитхуб и Битбуцкет токене за аутоматске Доцкер израде.
Радња:
Молимо кориснике да промене лозинку у Доцкер Хуб-у и било који други налог који дели ову лозинку.
За кориснике са серверима за аутоматску изградњу на које је то могло утицати, опозвали смо приступне кључеве и токене са ГитХуб-а и од вас ће бити затражено да се поново повежете са својим спремиштима и проверите сигурносне евиденције да видимо да ли постоји нека радња. Догодили су се непредвиђени догађаји.
Можете да проверите сигурносне радње на својим ГитХуб или БитБуцкет рачунима да бисте видели да ли је било неочекиваног приступа у последња 24 сата.
Ово може утицати на ваше тренутне верзије наше аутоматизоване услуге израде. Можда ћете морати да прекинете везу и поново повежете добављача Гитхуб-а и Битбуцкет-а, попут описано у доњем линку.