
Vor wenigen Stunden erhielten einige Benutzer von DockerHub E-Mails mit folgendem Inhalt:
„Am Donnerstag, den 25. April 2019, haben wir unbefugten Zugriff auf eine der Datenbanken von DockerHub festgestellt, in der einige nicht-finanzielle Daten der Benutzer gespeichert sind. Nach der Entdeckung haben wir sofort alle notwendigen Maßnahmen ergriffen, um die Benutzerdaten zu sichern.
Jetzt möchten wir die Informationen teilen, die wir im Rahmen der Untersuchung gesammelt haben, einschließlich der betroffenen DockerHub-Konten und der Maßnahmen, die die Kontoinhaber jetzt ergreifen sollten.
Das haben wir herausgefunden:
Während des kurzen Zeitraums des unbefugten Zugriffs auf die DockerHub-Datenbank könnten vertrauliche Daten von etwa 190.000 Konten offengelegt worden sein (weniger als 5 % der Benutzer des Dienstes). Die Daten umfassen Benutzernamen und Hashes von Passwörtern eines kleinen Prozentsatzes der oben genannten Benutzer sowie GitHub- und BitBucket-Token, die für die automatisierten Builds von Containern verwendet werden.
Was jetzt zu tun ist:
— Wir bitten alle Nutzer, ihre Passwörter für DockerHub und alle anderen Konten, die dasselbe Passwort verwenden, zu ändern.
— Für Nutzer, die automatische Builds verwendet haben, die möglicherweise betroffen sind, haben wir die Token und Zugriffsschlüssel zurückgesetzt. Wir bitten sie ebenfalls, ihre Repositories auf verdächtige Aktivitäten der letzten Zeit zu überprüfen.
— Um herauszufinden, wie Sie verdächtige Aktivitäten in Ihren GitHub- und BitBucket-Konten der letzten 24 Stunden überprüfen können, folgen Sie bitte den Links und
— Dies könnte Ihre aktuellen Builds aus unserem Automatisierungsservice betreffen. Möglicherweise müssen Sie auch Ihre GitHub- und BitBucket-Konten trennen und erneut verbinden. Detaillierte Informationen finden Sie hier
Wir werden dagegen unsere Sicherheitssysteme weiter verbessern und unsere Richtlinien überarbeiten. Zudem haben wir zusätzliche Metriken eingerichtet, um mögliche illegale Aktivitäten in Zukunft zu verfolgen.
Wir ermitteln weiterhin den Vorfall und werden Sie informieren, sobald neue Informationen verfügbar sind.
Wie gewohnt prüfen wir unser eigenes E-Mail-Konto, unsere Konten bei den angegebenen Diensten und erfinden unsere Passwörter neu. Bei neuen Informationen werden wir diesen Beitrag aktualisieren.
Nur registrierte Benutzer können an der Umfrage teilnehmen. Sind Sie an Contour interessiert?
Haben Sie eine ähnliche E-Mail erhalten?
Ja
Nein
Ich habe kein Konto bei DockerHub.
26 Nutzer haben abgestimmt. 2 Nutzer haben sich enthalten.
Quelle: habr.com
