10 月 23 - 25 日,QCon 上海站即将召开,现在购票,享9折优惠 了解详情
写点什么

Docker 官方公共仓库 Docker Hub 遭攻击,19 万用户信息泄露

  • 2019-04-28
  • 本文字数:1012 字

    阅读完需:约 3 分钟

Docker官方公共仓库 Docker Hub 遭攻击,19万用户信息泄露

Docker Hub 发布安全公告称,其数据库遭到了未经授权的黑客攻击,大约有 19 万用户的敏感信息泄露,其中包括用户名、登陆密码及 GitHub、Bitbucket 的访问令牌。


据悉,Docker Hub 中的 GitHub 和 Bitbucket 访问令牌允许开发人员修改项目代码,并自动构建 Docker Hub 上的镜像。一旦有人获取到了这些令牌的访问权限,就可以访问私有代码仓库,甚至可以修改私有代码仓库。而 Docker Hub 镜像通常用于服务器配置和应用程序,如果攻击者利用泄露的令牌修改代码或者已构建的镜像,那么可能会发生严重的供应链攻击。



4 月 25 日,Docker 公司发现了对存储非财务用户数据子集的单个 Hub 数据库的未授权访问。26 日,Docker 公司向开发者发送了相关邮件,邮件内容显示在发现数据泄露之后,Docker 公司立刻采取了两项行动,一是通知用户更改在 Docker Hub 的密码以及其他使用此密码的账户;二是针对可能受到自动构建令牌影响的用户,撤销 GitHub 令牌和访问密钥,并通知用户重新连接到存储库,并检查安全日志,查看是否发生了意外操作。


在 GitHub 或 BitBucket 帐户上查看安全操作,确定是否发生了意外访问:


https://help.github.com/en/articles/reviewing-your-security-log


https://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where


如果您正在使用自动构建服务的代码,那么可能需要取消链接,然后重新连接 GitHub 和 BitBucket:


https://docs.docker.com/docker-hub/builds/link-source/


根据 Docker 公司发布的邮件,这次受影响的 19 万用户只占总用户的 5%。受影响的范围虽然不算特别大,但是由于 Docker Hub 的用户大部分是大企业内部员工,他们可能都在使用自动构建容器服务,且容器可能会被部署在实际生产环境中。如果这些员工没有能够及时重置账号密码,那么该账号下的自动构建服务就存在着极大的安全风险,很可能会被攻击者植入恶意软件。


Docker 公司表示,“我们会加强整体安全流程并审核我们的政策。另外,现在已经添加了额外的监测工具。”目前,该事件还在调查过程中,之后,Docker 公司可能会分享更多细节。


相关文章:


近期数据泄露事件盘点:医疗信息、法律文件、个人隐私都在“裸奔”


数十家公司超 10 亿数据泄露,如何避免?


超 2 亿中国用户简历曝光!MongoDB 又一重大安全事故


一个月 6 次泄露,为啥大家用 Elasticsearch 总不设密码?


一个月被曝五次数据泄露,ElasticSearch 还行不行?


在线赌场泄漏 1.08 亿投注信息,ElasticSearch 再成祸首


2019-04-28 11:315471
用户头像

发布了 497 篇内容, 共 342.4 次阅读, 收获喜欢 1927 次。

关注

评论

发布
暂无评论
发现更多内容

面朝欧洲,迈上“云桥”,走一条无忧丝路

脑极体

出海

数据资产入表:工业数字化新机遇

用友BIP

数据资产

BACK Stack会成为平台工程的新趋势吗?

杨振涛

云原生 平台工程 内部开发者平台 平台工程社区 PECommunity

解读 Sobit v2:铭文资产跨链更注重安全、易用性

BlockChain先知

左耳听风 - 中年危机「读书打卡 day 03」

Java 工程师蔡姬

读书笔记 程序员 读书 中年危机 左耳朵耗子

极狐GitLab x 智众医疗 | 成为3.5亿慢病患者的健康管家

极狐GitLab

强大的iOS系统恢复:Fix My iPhone最新激活

胖墩儿不胖y

Mac软件 修复软件 iOS修复工具

幸福是什么

Geek_35a87b

自我

用友全球司库十问(完结篇)|如何构建司库信创体系化能力?

用友BIP

全球司库

详解GaussDB(DWS)通信安全的小妙招:连接认证机制

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 华为云GaussDB(DWS)

实战营|阿里云 x StarRocks 邀你现场体验云上极速湖仓--深圳站

StarRocks

数据库 数据仓库 数据分析 StarRocks

【新手入门】软件工程师必备技能-代码review调试定位问题

极客罗杰

如何使用 Helm 在 K8s 上集成 Prometheus 和 Grafana|Part 2

SEAL安全

Kubernetes 运维 Helm Prometheus

"5.25秒变0.023秒:小程序图片优化全攻略"

陇锦

小程序 微信小程序 前端 前端开发 js

centos7下docx转为pdf

麦兜

Google Adsense探索系列_第一弹

fkys

Google adsense ads.txt not found 未找到

系统存储架构升级分享

京东科技开发者

数据采集才是MES系统中的核心功能

万界星空科技

数据采集 MES系统 mes 设备管理 万界星空科技mes

AI实践 | 一文简述语音克隆实践

云起无垠

性能持续突破!火山引擎ByteHouse上线向量检索能力

字节跳动数据平台

数据库 大数据 云原生 数仓 企业号 1 月 PK 榜

解读 Sobit v2:铭文资产跨链更注重安全、易用性

石头财经

概念回顾:MQTT?

NGINX开源社区

nginx 物联网 HTTP TCP/IP mqtt

万界星空科技家具制造业MES系统解决方案

万界星空科技

生产管理系统 mes 家居设计 万界星空科技mes 家具生产管理系统

【分布式技术专题】「授权认证体系」深度解析OAuth2.0协议的原理和流程框架实现指南(授权流程和模式)

码界西柚

oauth2.0 分布式技术 2024年第七篇文章 授权认证协议

QCN9274: A new generation core force in wireless communications

wallysSK

自带恒压恒流环路的降压型单片车充专用芯片

芯动大师

Docker官方公共仓库 Docker Hub 遭攻击,19万用户信息泄露_容器_田晓旭_InfoQ精选文章