19万用户信息被泄露 Docker公共仓库Docker Hub遭攻击

  据外媒报道，一名未经授权的人员访问了Docker Hub数据库，这导致近190000名用户的敏感信息被泄露。这些信息包括一些用户名、登录密码以及GitHub、Bitbucket的访问令牌。

  根据周五晚发送的安全通知，Docker于2019年4月25日发现有人未经授权访问Docker Hub数据库。

  在进行调查后，官方确定该数据库包含大约190000个用户的信息。此信息包括用于Docker自动构建的GitHub和Bitbucket存储库的访问令牌以及一小部分用户的用户名和密码。

  据悉，存储在Docker Hub中的GitHub和Bitbucket访问令牌允许开发人员修改他们项目的代码，并让它自动构建Docker Hub上的镜像。但是，如果第三方获得对这些令牌的访问权限，则允许他们访问私有存储库代码，并可能根据存储在令牌中的权限对其进行修改。

  Docker Hub 镜像通常用于服务器配置和应用程序，如果攻击者利用泄露的令牌修改代码或者已构建的镜像，那么可能会发生严重的供应链攻击。

  虽然Docker声明他们已经撤销了所有暴露的令牌和访问密钥，但对于使用Docker Hub自动构建检查其项目存储库是否存在未经授权访问的开发人员来说，这一点非常重要。更糟糕的是，由于这些通知在周五晚上推迟，开发人员在评估他们的代码时可能要度过一个漫长的夜晚。

  根据Docker官方发布的电子邮件显示，Docker官方要求用户在Docker Hub和共享此密码的任何其他账户上尽快更改密码。并“对可能受影响的自动构建的用户，我们已经撤销GitHub令牌和访问密钥，并要求您重新连接到你的存储库并检查安全日志以查看是否发生了任何意外操作。”

  并且，用于可以在GitHub或BitBucket账户上查看安全操作，来查看过去24小时内是否发生任何意外的访问，以下是两个访问链接：

  https://help.github.com/en/articles/reviewing-your-security-log

  https://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where

  如果你正在使用自动构建服务的代码，那么可能需要取消链接，然后重新链接GitHub和BitBucket：

  https://docs.docker.com/docker-hub/builds/link-source/

  Docker公司表示，“我们会加强整体安全流程并审核我们的政策。另外，现在已经添加了额外的监测工具。”

  今天，随着云原生的快速发展和应用，Docker大受欢迎。它实现了应用与运行环境的解耦，众多业务应用负载都可以被容器化，而且应用容器化满足了敏捷、可迁移、标准化的诉求。

  虽然这次受影响的19万用户只占总用户的5%，但Docker Hub的用户大部分是大型企业内部员工，他们可能使用自动构建容器服务，且容器会被部署在实际生产环境中，因此有着极大的安全风险。