Kilka godzin temu niektórzy użytkownicy DockerHub otrzymali e-maile o następującej treści:
„W czwartek, 25 kwietnia 2019 r., wykryliśmy nieautoryzowany dostęp do jednej z baz danych DockerHub, w której przechowywane są niektóre niefinansowe dane użytkowników. Po wykryciu natychmiast podjęliśmy wszelkie niezbędne kroki w celu zabezpieczenia danych użytkownika.
A teraz chcielibyśmy podzielić się informacjami, które udało nam się znaleźć podczas dochodzenia, w tym które konta DockerHub zostały dotknięte i jakie działania powinni teraz podjąć ich właściciele.
Oto, czego udało nam się dowiedzieć:
W krótkim okresie nieautoryzowanego dostępu do bazy danych DockerHub mogły zostać ujawnione poufne dane około 190 000 kont (mniej niż 5% użytkowników usługi). Dane obejmują nazwy użytkowników i skróty haseł niewielkiego odsetka powyższych użytkowników, a także tokeny GitHub i BitBucket używane do zautomatyzowanego budowania kontenerów.
Co należy teraz zrobić:
- Prosimy użytkowników o zmianę haseł do DockerHub i wszelkich innych kont używających tego samego hasła.
- Użytkownicy korzystający z automatycznych kompilacji, których to mogło dotyczyć, zostali zresetowani tokeny i klucze dostępu. Prosimy ich również o sprawdzenie swoich repozytoriów pod kątem niedawnej podejrzanej aktywności.
- Aby dowiedzieć się, jak zbadać podejrzaną aktywność na Twoich kontach GitHub i BitBucket w ciągu ostatnich 24 godzin, skorzystaj z linków
- Może to mieć wpływ na Twoje bieżące kompilacje z naszej usługi automatycznego budowania. Może być również konieczne odłączenie i ponowne połączenie kont GitHub i BitBucket. Jest to szczegółowo opisane tutaj.
My z kolei ulepszymy nasze systemy bezpieczeństwa i dokonamy przeglądu naszych zasad. Skonfigurowaliśmy również dodatkowe wskaźniki, aby śledzić możliwe przyszłe nielegalne działania.
Nadal badamy ten incydent i poinformujemy Cię o tym, gdy będzie dostępnych więcej szczegółów."
Jak zwykle sprawdzamy własną pocztę, konta we wskazanych serwisach i ponownie tworzymy hasła. Zaktualizujemy ten post, gdy pojawią się nowe informacje.
W ankiecie mogą brać udział tylko zarejestrowani użytkownicy.
Czy otrzymałeś podobne pismo?
-
Tak
-
Nie
-
Nie mam konta DockerHub
Głosowało 26 użytkowników. 2 użytkowników wstrzymało się od głosu.
Źródło: www.habr.com