Docker Hub 被曝泄露19万用户信息，但影响不止于此

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

这周五晚些时候，Docker 容器图像官方仓库Docker Hub 宣布遭受数据泄露安全事件。该公司正在开始向客户发送邮件说明这起发生在4月25日的安全事件。

Docker 支持主管 Kent Lamb 指出，“周四即2019年4月25日，我们发现对存储非金融用户数据的子集的单个 Hub 数据库的未授权访问权限。”

Docker 表示，黑客仅在短期内访问了该数据库，但数据遭泄露的用户数量约为19万名。公司表示该数量仅占 Docker Hub 的整个用户数量的5%。

目前尚不清楚黑客是否从这个 Docker Hub 服务器中下载了用户数据，但如果已下载，则已经获取对如下数据的访问权限：Docker Hub 用户名、哈希密码和用于自动构建 Docker 容器图像的 Github 和 Bitbucket 令牌。

存储在 Docker Hub 中的 GitHub 和 Bitbucket 访问令牌可允许开发人员修改项目代码并允许其自动构建 Docker Hub 上的图像。如果第三方获取对这些令牌的访问权限，将能够访问私有库代码并可能根据令牌中存储的许可进行修改。

如果这些令牌被滥用于修改代码且遭攻陷图像已被部署，则可导致严重的供应链攻击，因为 Docker Hub 图像通常用于服务器配置和应用程序中。

Docker 目前正在向用户发送通知并提示重置密码。

Lamb 给客户发邮件称，“对于自动构建受影响的用户而言，我们撤销了 GitHub 令牌和访问密钥，并要求重新连接至仓库并检查安全日志来查看是否发生异常操作。”

Docker Hub 同时要求用户查看自己的 GitHub 和 Bitbucket 账户登录日志是否存在来自不明 IP 地址的未授权访问情况。

虽然受影响数量19万看似不算太多，但实际上并非如此。因为大多数 Docker Hub 用户是大企业员工，而他们可能使用自己的账户自动构建后续部署在实际生产环境中的容器。未能更改账户密码的用户的账户自动构建可能被修改从而包含恶意软件。

Docker 表示，目前仍在调查此事件且将适时公开更多详情。这次数据泄露事件并非在公司网站公开而是通过邮件告知。

原文链接

https://www.zdnet.com/article/docker-hub-hack-exposed-data-of-190000-users/

https://www.bleepingcomputer.com/news/security/docker-hub-database-hack-exposes-sensitive-data-of-190k-users/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。