【QCon】精华内容上线92%,全面覆盖“人工智能+”的典型案例!>>> 了解详情
写点什么

Docker 官方公共仓库 Docker Hub 遭攻击,19 万用户信息泄露

  • 2019-04-28
  • 本文字数:1012 字

    阅读完需:约 3 分钟

Docker官方公共仓库 Docker Hub 遭攻击,19万用户信息泄露

Docker Hub 发布安全公告称,其数据库遭到了未经授权的黑客攻击,大约有 19 万用户的敏感信息泄露,其中包括用户名、登陆密码及 GitHub、Bitbucket 的访问令牌。


据悉,Docker Hub 中的 GitHub 和 Bitbucket 访问令牌允许开发人员修改项目代码,并自动构建 Docker Hub 上的镜像。一旦有人获取到了这些令牌的访问权限,就可以访问私有代码仓库,甚至可以修改私有代码仓库。而 Docker Hub 镜像通常用于服务器配置和应用程序,如果攻击者利用泄露的令牌修改代码或者已构建的镜像,那么可能会发生严重的供应链攻击。



4 月 25 日,Docker 公司发现了对存储非财务用户数据子集的单个 Hub 数据库的未授权访问。26 日,Docker 公司向开发者发送了相关邮件,邮件内容显示在发现数据泄露之后,Docker 公司立刻采取了两项行动,一是通知用户更改在 Docker Hub 的密码以及其他使用此密码的账户;二是针对可能受到自动构建令牌影响的用户,撤销 GitHub 令牌和访问密钥,并通知用户重新连接到存储库,并检查安全日志,查看是否发生了意外操作。


在 GitHub 或 BitBucket 帐户上查看安全操作,确定是否发生了意外访问:


https://help.github.com/en/articles/reviewing-your-security-log


https://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where


如果您正在使用自动构建服务的代码,那么可能需要取消链接,然后重新连接 GitHub 和 BitBucket:


https://docs.docker.com/docker-hub/builds/link-source/


根据 Docker 公司发布的邮件,这次受影响的 19 万用户只占总用户的 5%。受影响的范围虽然不算特别大,但是由于 Docker Hub 的用户大部分是大企业内部员工,他们可能都在使用自动构建容器服务,且容器可能会被部署在实际生产环境中。如果这些员工没有能够及时重置账号密码,那么该账号下的自动构建服务就存在着极大的安全风险,很可能会被攻击者植入恶意软件。


Docker 公司表示,“我们会加强整体安全流程并审核我们的政策。另外,现在已经添加了额外的监测工具。”目前,该事件还在调查过程中,之后,Docker 公司可能会分享更多细节。


相关文章:


近期数据泄露事件盘点:医疗信息、法律文件、个人隐私都在“裸奔”


数十家公司超 10 亿数据泄露,如何避免?


超 2 亿中国用户简历曝光!MongoDB 又一重大安全事故


一个月 6 次泄露,为啥大家用 Elasticsearch 总不设密码?


一个月被曝五次数据泄露,ElasticSearch 还行不行?


在线赌场泄漏 1.08 亿投注信息,ElasticSearch 再成祸首


2019-04-28 11:314736
用户头像

发布了 497 篇内容, 共 307.3 次阅读, 收获喜欢 1907 次。

关注

评论

发布
暂无评论
发现更多内容

如何学习Visual Studio Code

博文视点Broadview

学习 读书笔记 vscode 能力提升 编辑器

统一物品编码破解追溯“断链”困局

CECBC

技术选型课程小结

梅子黄时雨

极客大学架构师训练营

啃碎并发(七):深入分析Synchronized原理

猿灯塔

Java

深入理解Java内存模型

itlemon

内存模型 Java内存模型

rc-form源码解读

Lee Chen

大前端

如何优雅地运用位运算实现产品需求?

梁桂钊

Java 架构

Java 后端博客系统文章系统——No1

猿灯塔

为了把握新基建风口,科技公司都在紧密筹备这件事...

极客时间企业版

毕业三年了,我开始明白为什么说三年是一个坎

鄙人薛某

程序员 程序人生 职场回顾

华为云FusionInsight MRS通过信通院大数据能力评估 单集群突破2万+规模

数据湖洞见

大数据 FusionInsight MRS 华为云

鲲鹏说:高考之路你们走,高考阅卷我来守

脑极体

Week5总结

王志祥

极客大学架构师训练营

Go在容器运行时要注意的细节

博文视点Broadview

容器 云原生 Go 语言

一致性hash

石刻掌纹

CORS 和 CSRF 修炼宝典

pingan8787

大前端 Web CORS CSRF

开发者必备——API设计问题

Noneplus

Week5作业

王志祥

极客大学架构师训练营

官宣 | 千呼万唤,Apache Flink 1.11.0 正式发布啦!

Apache Flink

flink

架构师师傅在训练营第5周感想

tuuezzy

架构师

依旧乐观的李彦宏,十年寻光的百度AI

脑极体

数据分析师成长体系漫谈-数仓模型设计

analysis-lion

学习 数据仓库 数据分析 随笔杂谈

第五周作业

好名字

信创舆情一线--5省发布区块链发展计划

统小信uos

区块链 舆情

golang内存对齐

PONPON

go内存对齐 Go 语言

这样的二维码,你见过吗?

诸葛小猿

Java Python 后端 二维码 myqr

人生就是体会矛盾的过程

封不羁

成长 感悟

Hadoop大数据存算分离下,如何解决新旧存储共存?

XSKY星辰天合

Struct embedding in Go

Interstate5

time.Time dynamodb apigateway Go 语言

如何通过DDD构建一辆汽车

冯文辉

领域驱动设计 DDD

架构师训练营-作业5

紫极

Docker官方公共仓库 Docker Hub 遭攻击,19万用户信息泄露_容器_田晓旭_InfoQ精选文章