事件回顧4月25日�����,Docker Hub發(fā)現(xiàn)一個(gè)數(shù)據(jù)庫(kù)遭遇未經(jīng)授權(quán)訪問(wèn)(官方原話是 unauthorized access),發(fā)現(xiàn)問(wèn)題后他們立即采取干預(yù)措施來(lái)確保網(wǎng)站安全���。
官方表示在短暫的數(shù)據(jù)庫(kù)未經(jīng)授權(quán)訪問(wèn)期間�����,大約 19萬(wàn)個(gè)賬號(hào)的敏感數(shù)據(jù)已被泄露(大約是總用戶數(shù)的 5%)�����,這些數(shù)據(jù)包括部分用戶的用戶名�、哈希密碼,以及用于自動(dòng)構(gòu)建 Docker 鏡像的 GitHub 和 Bitbucket Token�。
解決方案Docker 發(fā)現(xiàn)問(wèn)題后立即向用戶告知了這一消息,并通知用戶重置密碼(包括使用其他使用相同用戶名和密碼的平臺(tái))��。
此外���,對(duì)于使用了自動(dòng)構(gòu)建服務(wù)并可能受影響的用戶�����,Docker 已撤銷他們的 GitHub token 和訪問(wèn)密鑰��,并提醒他們重新連接到存儲(chǔ)庫(kù),然后檢查安全和登錄日志以查看是否發(fā)生了任何異常操作����,例如是否存在通過(guò)未知的 IP 地址進(jìn)行任何未經(jīng)授權(quán)的訪問(wèn)。
最新回應(yīng)今天,Docker Hub 在其官網(wǎng)正式回應(yīng)了這一事件���,表示泄露的數(shù)據(jù)來(lái)自用戶的非財(cái)務(wù)性數(shù)據(jù)子集(a subset of non-financial user data)目前正在加強(qiáng)整體安全流程和審核安全策略��,除此之外還增加了額外的監(jiān)測(cè)工具�����。
最后對(duì)用戶的常見問(wèn)題進(jìn)行了解答��,摘錄部分如下:?jiǎn)枺哼@次事件是否影響到 Docker 官方鏡像���?沒有官方鏡像遭受入侵,針對(duì)官方鏡像我們有提供額外的安全措施��,包括git commit 上的GPG 簽名和Notary簽名���,以此來(lái)確保每個(gè)鏡像的完整性�。
問(wèn):如何判斷是否受到這次事件的影響����?如果收到了 Docker 發(fā)送的關(guān)于本次事件的電子郵件,這說(shuō)明可能會(huì)受到影響��。
如果發(fā)現(xiàn)從GitHub 或 Bitbucket 到 Docker Hub 的連接已經(jīng)中斷,說(shuō)明也可能遭受影響����。
如果收到重置密碼的鏈接,這說(shuō)明帳號(hào)的哈希密碼可能已經(jīng)被泄露����。
對(duì)于存在泄露風(fēng)險(xiǎn)的密碼,我們已將其作廢��,并向用戶發(fā)送密碼重置鏈接來(lái)作為預(yù)防措施���。
問(wèn):需要做什么��?對(duì)于所有 Docker Hub 用戶�����,不需要執(zhí)行任何操作來(lái)確保安全性���。
因?yàn)槲覀円褜⒚艽a重置鏈接發(fā)送給可能泄露哈希密碼的全部用戶。
對(duì)于曾使用過(guò)自動(dòng)構(gòu)建服務(wù)的用戶���,需要重新從GitHub 或 Bitbucket 連接到 Docker Hub。
問(wèn):是否需要在 Docker Hub 上重置密碼?不需要���。
對(duì)于已泄露的哈希密碼���,我們已將其廢棄,并通過(guò)電子郵件向發(fā)送了密碼重置鏈接�����。
如果沒有收到密碼重置鏈接�,可訪問(wèn)此處以重置密碼(https://id.docker.com/reset-password/?service=43f17c5f-9ba4-4f13-853d-9d0074e349a7)。
問(wèn):為什么未收到通知就刪除了我的 GitHub Token����?為了保護(hù)用戶的數(shù)據(jù)安全,我們采取了盡快撤銷 Token 的措施��,同時(shí)努力采取其他措施來(lái)保護(hù)網(wǎng)站的安全�����。
這些工作完成后��,我們才向可能受影響的用戶發(fā)去通知��。
問(wèn):現(xiàn)在將 Docker Hub 倉(cāng)庫(kù)重新連接到 GitHub 倉(cāng)庫(kù)是否會(huì)面臨風(fēng)險(xiǎn)?不會(huì)���。
重新連接會(huì)創(chuàng)建一個(gè)新的只讀部署密鑰(read-only deploy key)�����。
問(wèn):目前無(wú)法登錄 Docker Hub����,是因?yàn)閹ぬ?hào)被攻擊了嗎�?我們已向可能泄露了哈希密碼的用戶發(fā)送了密碼重置鏈接,并作廢了這些密碼����。
請(qǐng)檢查電子郵件箱是否收到密碼重置鏈接。
如果有任何疑慮����,請(qǐng)聯(lián)系info@docker.com問(wèn):從未使用過(guò) Docker Hub 自動(dòng)構(gòu)建功能,為什么也收到了電子郵件��?可能你曾經(jīng)將GitHub 或 Bitbucket 連接到 Docker Hub���,或者是哈希密碼已經(jīng)泄露����。
若是前者,我們已取消連接���;若是后者,我們已將密碼廢棄并發(fā)送了密碼重置鏈接到郵箱��。
