写点什么

Docker 官方公共仓库 Docker Hub 遭攻击,19 万用户信息泄露

  • 2019-04-28
  • 本文字数:1012 字

    阅读完需:约 3 分钟

Docker官方公共仓库 Docker Hub 遭攻击,19万用户信息泄露

Docker Hub 发布安全公告称,其数据库遭到了未经授权的黑客攻击,大约有 19 万用户的敏感信息泄露,其中包括用户名、登陆密码及 GitHub、Bitbucket 的访问令牌。


据悉,Docker Hub 中的 GitHub 和 Bitbucket 访问令牌允许开发人员修改项目代码,并自动构建 Docker Hub 上的镜像。一旦有人获取到了这些令牌的访问权限,就可以访问私有代码仓库,甚至可以修改私有代码仓库。而 Docker Hub 镜像通常用于服务器配置和应用程序,如果攻击者利用泄露的令牌修改代码或者已构建的镜像,那么可能会发生严重的供应链攻击。



4 月 25 日,Docker 公司发现了对存储非财务用户数据子集的单个 Hub 数据库的未授权访问。26 日,Docker 公司向开发者发送了相关邮件,邮件内容显示在发现数据泄露之后,Docker 公司立刻采取了两项行动,一是通知用户更改在 Docker Hub 的密码以及其他使用此密码的账户;二是针对可能受到自动构建令牌影响的用户,撤销 GitHub 令牌和访问密钥,并通知用户重新连接到存储库,并检查安全日志,查看是否发生了意外操作。


在 GitHub 或 BitBucket 帐户上查看安全操作,确定是否发生了意外访问:


https://help.github.com/en/articles/reviewing-your-security-log


https://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where


如果您正在使用自动构建服务的代码,那么可能需要取消链接,然后重新连接 GitHub 和 BitBucket:


https://docs.docker.com/docker-hub/builds/link-source/


根据 Docker 公司发布的邮件,这次受影响的 19 万用户只占总用户的 5%。受影响的范围虽然不算特别大,但是由于 Docker Hub 的用户大部分是大企业内部员工,他们可能都在使用自动构建容器服务,且容器可能会被部署在实际生产环境中。如果这些员工没有能够及时重置账号密码,那么该账号下的自动构建服务就存在着极大的安全风险,很可能会被攻击者植入恶意软件。


Docker 公司表示,“我们会加强整体安全流程并审核我们的政策。另外,现在已经添加了额外的监测工具。”目前,该事件还在调查过程中,之后,Docker 公司可能会分享更多细节。


相关文章:


近期数据泄露事件盘点:医疗信息、法律文件、个人隐私都在“裸奔”


数十家公司超 10 亿数据泄露,如何避免?


超 2 亿中国用户简历曝光!MongoDB 又一重大安全事故


一个月 6 次泄露,为啥大家用 Elasticsearch 总不设密码?


一个月被曝五次数据泄露,ElasticSearch 还行不行?


在线赌场泄漏 1.08 亿投注信息,ElasticSearch 再成祸首


2019-04-28 11:315459
用户头像

发布了 497 篇内容, 共 341.4 次阅读, 收获喜欢 1927 次。

关注

评论

发布
暂无评论
发现更多内容

区块链Web3项目的开发

北京木奇移动技术有限公司

区块链开发 软件外包公司 web3开发

2025年Java常见面试题

Geek_Yin

Java 程序员 java面试 Java面试题

Java面试题100道及答案

Geek_Yin

Java 程序员 java面试 Java面试题

Java程序员100道面试题(含答案)

Geek_Yin

Java 程序员 java面试 Java面试题

破局AI落地困境,《企业AI应用落地白皮书》正式发布

用友BIP

AI

懒懒笔记 | 课代表带你梳理【RAG课程 11&12:优化和加速你的RAG】

商汤万象开发者

LLM

AI+制造:用友BIP智能裁切,突破造纸行业效率革命

用友BIP

AI

假如给你1亿的Redis key,如何高效统计?

不在线第一只蜗牛

数据库 redis

Steinberg SpectraLayers Pro for mac 音频光谱编辑与修复

晨光熹微

鸿蒙Next仓颉语言开发实战教程:下拉刷新和上拉加载更多

幽蓝计划

算力不再是瓶颈?看DeepSeek如何颠覆AI发展逻辑

GPU算力

强化学习 算力 AI算法 深度学习、 DeepSeek

单据流那些事儿之手工生单串讲

inBuilder低代码平台

Xcode 26 beta (17A5241e) 发布 - Apple 平台 IDE

sysin

xcode

跨端生态和AI赋能:移动研发模式的范式升级

xuyinyin

云服务器自带的防御可靠吗?

网络安全服务

防火墙 云服务器 安全组 高防IP DDoS 攻击

Python 循环引用内存泄漏:原因分析与解决方法

异常君

Py 内存管理 循环引用 实战案例 原理解析

指标体系建设的本质与落地逻辑——从战略到执行的闭环管理

Aloudata

数据分析 指标体系 指标管理 指标平台 指标开发

如何通过DNS解析实现负载均衡?有哪些优势?

国科云

鸿蒙Next实现瀑布流布局

飞龙AI

HarmonyOS HarmonyOS NEXT 鸿蒙影音娱乐类应用 拍摄美化

Steinberg Dorico Pro for mac 6.0.10 乐谱编写制作

晨光熹微

用友BIP开启「人+智能体+群」业务协同新模式

用友BIP

AI

等保备案证明更新

等保测评

当人力工作遭遇经验主义桎梏:智能体如何重塑HR战略价值?

用友BIP

Steinberg Nuendo Pro for mac14.0.30 音频后期制作

晨光熹微

基于YOLOv8的交通标识及设施识别项目|完整源码数据集+PyQt5界面+完整训练流程+开箱即用!

申公豹

yolov8

商品中心—B端建品和C端缓存的技术文档

电子尖叫食人鱼

架构

Swinsian 3.0 Preview 23 音乐播放器

晨光熹微

AI技术在图书管理系统的应用

北京木奇移动技术有限公司

软件外包公司 AI技术应用 图书馆信息化

Steinberg HALion for mac 虚拟采样与声音合成

晨光熹微

Steinberg Cubase Pro for mac14.0.30 多功能音乐制作

晨光熹微

Techub News Web3小科普:什么是稳定币

TechubNews

Docker官方公共仓库 Docker Hub 遭攻击,19万用户信息泄露_容器_田晓旭_InfoQ精选文章