Docker Hub破解了190000个用户的暴露数据

该公司开始向客户发送有关4月25日前一天发生的安全事件的消息后，该漏洞曝光。在2019年4月25日星期四，我们发现未经授权访问存储一部分非财务用户数据的单个Hub数据库，”Docker支持总监Kent Lamb表示。Docker说，黑客只能在短时间内访问这个数据库，但大约有190,000名用户的数据已被曝光。该公司表示，这个数字仅占Docker Hub整个用户群的5%。目前还不清楚黑客是否从这个Docker Hub服务器下载了任何用户数据，但如果他这样做了，他可能已获得访问Docker Hub用户名，散列密码以及用于自动构建Docker容器映像的Github和Bitbucket令牌。Docker现在正在通知用户并提示重置密码。

“对于可能受到影响的autobuild的用户，我们已经撤销了GitHub令牌和访问密钥，并要求您重新连接到您的存储库并检查安全日志以查看是否发生了任何意外操作，”Lamb在公司电子邮件中说道。送客户。

该公司还要求用户查看GitHub和Bitbucket帐户登录日志，以便从未知IP地址进行任何未经授权的访问。

虽然只有190,000个似乎是一个小漏洞，但事实并非如此。绝大多数Docker Hub用户都是大公司内部的员工，他们可能正在使用他们的帐户自动构建容器，然后在实际生产环境中部署这些容器。

用户未能更改其帐户密码，并且可能将其帐户autobuild修改为包含恶意软件。

Docker表示，它仍在调查此事件，并将在可用时分享详细信息。安全事件未在公司网站上披露，但仅通过电子邮件披露。完整电子邮件的副本可在此处或下图中找到。