Docker Hub发布安全公告称，其数据库遭到了未经授权的黑客攻击，大约有19万用户的敏感信息泄露，其中包括用户名、登陆密码及GitHub、Bitbucket的访问令牌。

据悉，Docker Hub中的GitHub和Bitbucket访问令牌允许开发人员修改项目代码，并自动构建Docker Hub上的镜像。一旦有人获取到了这些令牌的访问权限，就可以访问私有代码仓库，甚至可以修改私有代码仓库。而Docker Hub镜像通常用于服务器配置和应用程序，如果攻击者利用泄露的令牌修改代码或者已构建的镜像，那么可能会发生严重的供应链攻击。

4月25日，Docker公司发现了对存储非财务用户数据子集的单个Hub数据库的未授权访问。26日，Docker公司向开发者发送了相关邮件，邮件内容显示在发现数据泄露之后，Docker公司立刻采取了两项行动，一是通知用户更改在Docker Hub的密码以及其他使用此密码的账户；二是针对可能受到自动构建令牌影响的用户，撤销GitHub令牌和访问密钥，并通知用户重新连接到存储库，并检查安全日志，查看是否发生了意外操作。

在GitHub或BitBucket帐户上查看安全操作，确定是否发生了意外访问：
https：//help.github.com/en/articles/reviewing-your-security-log
https：//bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where

如果您正在使用自动构建服务的代码，那么可能需要取消链接，然后重新连接GitHub和BitBucket：
https：//docs.docker.com/docker-hub/builds/link-source/

根据Docker公司发布的邮件，这次受影响的19万用户只占总用户的5%。受影响的范围虽然不算特别大，但是由于Docker Hub的用户大部分是大企业内部员工，他们可能都在使用自动构建容器服务，且容器可能会被部署在实际生产环境中。如果这些员工没有能够及时重置账号密码，那么该账号下的自动构建服务就存在着极大的安全风险，很可能会被攻击者植入恶意软件。

Docker公司表示，“我们会加强整体安全流程并审核我们的政策。另外，现在已经添加了额外的监测工具。”目前，该事件还在调查过程中，之后，Docker公司可能会分享更多细节。

相关文章：
近期数据泄露事件盘点：医疗信息、法律文件、个人隐私都在“裸奔”
数十家公司超 10 亿数据泄露，如何避免？
超 2 亿中国用户简历曝光！MongoDB 又一重大安全事故
 一个月 6 次泄露，为啥大家用 Elasticsearch 总不设密码？
一个月被曝五次数据泄露，ElasticSearch 还行不行？
在线赌场泄漏 1.08 亿投注信息，ElasticSearch 再成祸首

创作场景

Docker 官方公共仓库 Docker Hub 遭攻击，19 万用户信息泄露