ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Пользователи Docker Hub, официального каталога контейнеров для системы Docker, получили уведомление о взломе инфраструктуры проекта. В результате атаки в руки злоумышленников попала база учётных записей, включающая сведения о 190 тысячах пользователей сервиса, включая хэши их паролей и токены для доступа к репозиториям на GitHub и Bitbucket. Для предотвращения распространения атаки формирование сборок приостановлено, а токены к GitHub и Bitbucket отозваны.

Всем пользователям Docker Hub рекомендуется срочно поменять свои пароли, особенно если один пароль используется на нескольких разных ресурсах. В случае использования автоматизированных сборок с привязкой к репозиторию на GitHub или Bitbucket также рекомендуется включить двухфакторную аутентификацию и обновить идентификатор подключения OAuth (нужно отсоединить и заново привязать репозиторий).

В случае привязки к репозиторию запрашивались полные полномочия на чтение и запись информации, т.е. компрометация Docker Hub может привести и к компрометации подключенных репозиториев. В случае наличия привязки следует внимательно изучить лог (GitHub BitBucket) последних событий на предмет наличия подозрительной активности. Кроме того, в случае размещения ключей подключения к различным API в непубличных репозиториях и контейнерах, необходимо обновить и эти ключи, так как атакующие могли получить доступ приватным репозиториям.



Инфраструктура Docker Hub была атакована 25 апреля. В ходе атаки злоумышленники получили доступ к СУБД проекта и информации пользователей, за исключением финансовых данных. Начальное разбирательство показало, что утечка охватывает данные приблизительно 190 тысяч пользователей, что составляет примерно 5% от общей пользовательской базы сервиса. Подробная информация об инциденте пока недоступна, разбирательство ещё не завершено.