对程序员来说，想必对Docker不陌生了。Docker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。容器是完全使用沙箱机制，相互之间不会有任何接口。

然而4月27日，有开发者表示收到来自Docker 的官方邮件，邮件内容显示由于 Docker Hub 一数据库遭受非法入侵，已导致 19 万个帐号的敏感数据被泄露，这些数据包括小部分用户的用户名和哈希密码，以及用于自动构建 Docker 镜像而授权给 Docker Hub 的 GitHub 和 Bitbucket token。

DockerHub 是Docker 容器镜像的官方存储库，镜像是Docker最核心的技术之一，也是应用发布的标准格式。它的主要优点是它为开发人员提供了访问数千个免费可用的开源容器化应用程序。其中提供的服务有：

• Docker 镜像主机

• 用户认证

• 自动镜像构建和工作流程工具，如构建触发器和 web hooks

• 整合了 GitHub 和 BitBucket

按照 Docker 的官方说法，在黑客入侵 Docker Hub 后的短时间内就发现了问题，不过仍有 19 万个帐号的数据已遭泄露，大约是总用户数的 5%。

Docker发现问题后立即向用户告知了这一消息，并立即采取干预措施来保护数据，通知用户重置密码（包括使用其他使用相同用户名和密码的平台），尽力降低对用户造成的影响。

此外，对于使用了自动构建服务并可能受影响的用户，Docker 已撤销他们的 GitHub token 和访问密钥，并提醒他们重新连接到存储库，然后检查安全和登录日志以查看是否发生了任何异常操作，例如是否存在通过未知的 IP 地址进行任何未经授权的访问。

虽然受影响的用户只有 5%，看起来问题不是十分严重，但事实并非如此。要知道绝大多数 Docker Hub 用户都是大公司的内部员工，他们的帐号可能正在使用自动构建容器服务，然后在实际生产环境中部署这些容器。

如果他们没有及时重置帐号密码，那么其帐号的自动构建服务会存在极大的安全风险 —— 被攻击者植入恶意软件。

Docker表示目前仍在调查此事件，调查清楚后会分享详细信息。不过这起安全事件尚未在公司网站上披露，仅通过电子邮件通知用户。

Docker官方建议用户：

①  我们提醒在其它账户当中重复使用DockerHub密码内容的用户尽快更改密码。

②  对于可能受到影响的autobuild用户，我们已经撤销了GitHub令牌与访问密钥，并提醒您重新接入您的存储库以检查安全日志，从而判断其中是否存在任何异常操作。

③  您可以在自己的GitHub或者BitBucket账户上查看安全操作，以判断过去24小时之内是否存在任何意外访问活动。链接：https://help.github.com/en/articles/reviewing-your-security-log
https://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where

④  这可能会影响到您利用我们自动构建服务进行的持续构建操作。您可能需要取消链接，而后重新链接至您的GitHub与Bitbucket源提供程序。具体请访问：https://docs.docker.com/docker-hub/builds/link-source/。

来源：OSCHINA

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com