一个未经授权的人擅自访问了Docker Hub数据库,因此泄露了大约19万个用户的敏感信息。这些信息包括一些用户名和散列密码以及GitHub和Bitbucket代码库的令牌。
据周五晚发送的安全通知显示,Docker在2019年4月25日意识到有人未经授权访问了Docker Hub数据库。
进行一番调查后查明,该数据库含有约19万个用户的信息。除了一小部分用户的用户名和密码外,这些信息还包括用于Docker autobuild(自动构建)的GitHub和Bitbucket代码库的访问令牌。
发送给用户的Docker通知:
存储在Docker Hub中的GitHub和Bitbucket访问令牌让开发人员得以修改他们项目的代码,并让项目自动构建(即autobuild)Docker Hub上的映像。然而,如果第三方访问了这些令牌,他们可以进而访问专有代码库代码,并可能根据存储在令牌中的权限对代码进行修改。
虽然Docker声明它已经吊销了所有泄露的令牌和访问密钥,但使用Docker Hub autobuild的开发人员还是有必要检查项目的代码库,看看是否存在未授权访问,这点很重要。更糟糕的是,由于这些通知在周五晚下发,开发人员可能要经历漫漫长夜来评估代码。
领取专属 10元无门槛券
私享最新 技术干货