Hackean unas 190.000 cuentas de Docker Hub
Alguien no autorizado obtuvo acceso a una base de datos de Docker Hub que expuso información sensible aproximadamente sobre unos 190.000 usuarios. Estos datos incluían nombres de usuario y contraseñas hash, así como tokens para GitHub y repositorios de Bitbucket.
Según un aviso de seguridad enviado a última hora de la noche del viernes, Docker se enteró del acceso no autorizado a una base de datos de Docker Hub el 25 de abril de 2019.
Después de la investigación se determinó que la base de datos contenía información de aproximadamente unos 190.000 usuarios. Esta información incluía tokens de acceso a los repositorios de GitHub y Bitbucket utilizados para la compilación automática de Docker, así como nombres de usuario y contraseñas para un pequeño porcentaje de usuarios.
Los tokens de acceso de GitHub y Bitbucket almacenados en el Docker Hub permiten a los desarrolladores modificar el código de su proyecto y hacer que automáticamente construya, o se autoconstruya, la imagen en el Docker Hub. Sin embargo, si un tercero obtiene acceso a estos tokens, le permitiría acceder a un código de repositorios privados y posiblemente modificarlo en función de los permisos almacenados en el token.
Si estos tokens han sido manipulados para modificar el código y se hayan desplegado imágenes comprometidas, esto podrían provocar ataques, ya que las imágenes del Docker Hub tienden a ser utilizadas en configuraciones y aplicaciones de servidores.
Aunque Docker ha declarado que ya ha revocado todos los tokens y claves de acceso expuestos, es importante que los desarrolladores que han utilizado la autoconstrucción del Docker Hub comprueben si hay acceso no autorizado a los repositorios de su proyecto. Peor aún, con estos avisos llegaron tarde, los desarrolladores tienen horas por delante para examinan su código.
Para aquellos interesados en mail completo que enviaron, un usuario publicó el texto completo de ese aviso en el Hacker News de Ycombinator.
On Thursday, April 25th, 2019, we discovered unauthorized access to a single Hub database storing a subset of non-financial user data. Upon discovery, we acted quickly to intervene and secure the site.
We want to update you on what we've learned from our ongoing investigation, including which Hub accounts are impacted, and what actions users should take.
Here is what we’ve learned:
During a brief period of unauthorized access to a Docker Hub database, sensitive data from approximately 190,000 accounts may have been exposed (less than 5% of Hub users). Data includes usernames and hashed passwords for a small percentage of these users, as well as Github and Bitbucket tokens for Docker autobuilds.
Actions to Take:
- We are asking users to change their password on Docker Hub and any other accounts that shared this password.
- For users with autobuilds that may have been impacted, we have revoked GitHub tokens and access keys, and ask that you reconnect to your repositories and check security logs to see if any unexpected actions have taken place.
- You may view security actions on your GitHub or BitBucket accounts to see if any unexpected access has occurred over the past 24 hours -see https://help.github.com/en/articles/reviewing-your-security-log and https://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where
- This may affect your ongoing builds from our Automated build service. You may need to unlink and then relink your Github and Bitbucket source provider as described in https://docs.docker.com/docker-hub/builds/link-source/
We are enhancing our overall security processes and reviewing our policies. Additional monitoring tools are now in place.
Our investigation is still ongoing, and we will share more information as it becomes available.
Thank you,
Kent Lamb Director of Docker Support info@docker.com