ProHoster > Блог > Administrado > dockerhub hakis

dockerhub hakis

dockerhub hakis

Antaŭ kelkaj horoj, iuj uzantoj de DockerHub ricevis retpoŝtojn kun la sekva enhavo:

"Ĵaŭdon, la 25-an de aprilo 2019, ni malkovris neaŭtorizitan aliron al unu el la datumbazoj de DockerHub, kiu konservas iujn el la nefinancaj datumoj de uzantoj. Post malkovro, ni tuj faris ĉiujn necesajn paŝojn por sekurigi uzantajn datumojn.

Kaj nun ni ŝatus kunhavigi la informojn, kiujn ni povis trovi dum la enketo, inkluzive de kiuj DockerHub-kontoj estis tuŝitaj kaj kiajn agojn iliaj posedantoj devas fari nun.

Jen kion ni sukcesis ekscii:

Dum mallonga periodo de neaŭtorizita aliro al la datumbazo DockerHub, konfidencaj datumoj de proksimume 190 kontoj (malpli ol 000% de servaj uzantoj) povus esti elmontritaj. La datumoj inkluzivas la uzantnomojn kaj pasvortajn haŝojn de malgranda procento de ĉi-supraj uzantoj, same kiel la GitHub kaj BitBucket-ĵetonojn uzatajn por aŭtomataj ujkonstruaĵoj.

Kion oni devas fari nun:

- Ni petas uzantojn ŝanĝi la pasvortojn de DockerHub kaj ajnajn aliajn kontojn uzante la saman pasvorton.

- Uzantoj uzantaj aŭtomatigitajn konstruaĵojn, kiuj eble estis tuŝitaj de tio, estis rekomencigitaj ĵetonoj kaj alirŝlosiloj. Ni ankaŭ petas ilin kontroli iliajn deponejojn por ajna lastatempa suspektinda agado.

- Por ekscii kiel esplori suspektindan agadon en viaj kontoj GitHub kaj BitBucket en la lastaj 24 horoj, sekvu la ligilojn help.github.com/en/articles/reviewing-your-security-log и bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-when-and-where

- Ĉi tio povas influi viajn nunajn konstruaĵojn de nia aŭtomata konstrua servo. Vi eble ankaŭ bezonos malligi kaj religi viajn kontojn GitHub kaj BitBucket. Ĉi tio estas skribita detale ĉi tie. docs.docker.com/docker-hub/builds/link-source

Ni, siavice, plibonigos niajn sekurecsistemojn kaj revizios niajn politikojn. Ni ankaŭ starigis pliajn mezurojn por spuri eventualan estontan kontraŭleĝan agadon.

Ni ankoraŭ esploras la okazaĵon kaj ĝisdatigos vin kiam pli da detaloj estos disponeblaj."

Kiel kutime, ni kontrolas nian propran poŝton, niajn kontojn en la indikitaj servoj, kaj rekreas pasvortojn. Ni ĝisdatigos ĉi tiun afiŝon kiam novaj informoj fariĝos haveblaj.

Nur registritaj uzantoj povas partopreni la enketon. Ensaluti, bonvolu.

Ĉu vi ricevis similan leteron?

  • Jes

  • Neniu

  • Mi ne havas konton de DockerHub

Voĉdonis 26 uzantoj. 2 uzantoj sindetenis.

fonto: www.habr.com

Aldoni komenton