ساعاتی پیش برای برخی از کاربران DockerHub ایمیل هایی با محتوای زیر ارسال شد:
«در روز پنجشنبه، ۲۵ آوریل ۲۰۱۹، دسترسی غیرمجاز به یکی از پایگاههای داده DockerHub را کشف کردیم که برخی از دادههای غیرمالی کاربران را ذخیره میکند. پس از کشف، ما بلافاصله تمام اقدامات لازم را برای ایمن سازی اطلاعات کاربر انجام دادیم.
و اکنون میخواهیم اطلاعاتی را که در طول بررسی میتوانیم پیدا کنیم، از جمله اینکه کدام حسابهای DockerHub تحت تأثیر قرار گرفتهاند و صاحبان آنها در حال حاضر چه اقداماتی باید انجام دهند، به اشتراک بگذاریم.
در اینجا چیزی است که ما موفق به کشف آن شدیم:
در طی یک دوره کوتاه دسترسی غیرمجاز به پایگاه داده DockerHub، دادههای محرمانه تقریباً 190 حساب (کمتر از 000٪ از کاربران سرویس) ممکن است افشا شود. این داده ها شامل نام کاربری و هش رمز عبور درصد کمی از کاربران فوق و همچنین توکن های GitHub و BitBucket است که برای ساخت کانتینر خودکار استفاده می شوند.
اکنون چه باید کرد:
- از کاربران می خواهیم که رمزهای عبور DockerHub و هر حساب دیگری را با استفاده از همان رمز عبور تغییر دهند.
- کاربرانی که از ساختهای خودکار استفاده میکنند و ممکن است تحت تأثیر این قرار گرفته باشند، نشانهها و کلیدهای دسترسی را بازنشانی کردهاند. ما همچنین از آنها می خواهیم که مخازن خود را برای هرگونه فعالیت مشکوک اخیر بررسی کنند.
- برای اطلاع از نحوه بررسی فعالیت های مشکوک در حساب های GitHub و BitBucket خود در 24 ساعت گذشته، پیوندها را دنبال کنید.
- این ممکن است بر ساخت های فعلی شما از سرویس ساخت خودکار ما تأثیر بگذارد. همچنین ممکن است لازم باشد حساب های GitHub و BitBucket خود را لغو و دوباره پیوند دهید. این در اینجا به تفصیل نوشته شده است.
ما نیز به نوبه خود سیستم های امنیتی خود را بهبود خواهیم بخشید و سیاست های خود را بررسی خواهیم کرد. ما همچنین معیارهای بیشتری را برای ردیابی فعالیتهای غیرقانونی احتمالی آینده تنظیم کردهایم.
ما همچنان در حال بررسی این حادثه هستیم و به محض در دسترس شدن جزئیات بیشتر، شما را بهروزرسانی خواهیم کرد.»
طبق معمول، نامه های خود، حساب های خود را در سرویس های مشخص شده بررسی می کنیم و رمز عبور را دوباره ایجاد می کنیم. با در دسترس قرار گرفتن اطلاعات جدید، این پست را به روز خواهیم کرد.
فقط کاربران ثبت نام شده می توانند در نظرسنجی شرکت کنند.
آیا نامه مشابهی دریافت کرده اید؟
-
بله
-
بدون
-
من یک حساب DockerHub ندارم
26 کاربر رای دادند. 2 کاربر رای ممتنع دادند.
منبع: www.habr.com