Docker Hub回應資料洩露事件

事件回顧

4月25日，Docker Hub 發現一個資料庫遭遇未經授權通路（官方原話是 unauthorized access），發現問題後他們立即采取幹預措施來確定網站安全。官方表示在短暫的資料庫未經授權通路期間，約 19 萬個賬号的敏感資料已被洩露（大約是總使用者數的 5%），這些資料包括部分使用者的使用者名、哈希密碼，以及用于自動建構 Docker 鏡像的 GitHub 和 Bitbucket Token。

解決方案

Docker 發現問題後立即向使用者告知了這一消息，并通知使用者重置密碼（包括使用其他使用相同使用者名和密碼的平台）。

此外，對于使用了自動建構服務并可能受影響的使用者，Docker 已撤銷他們的 GitHub token 和通路密鑰，并提醒他們重新連接配接到存儲庫，然後檢查安全和登入日志以檢視是否發生了任何異常操作，例如是否存在通過未知的 IP 位址進行任何未經授權的通路。

最新回應

今天，Docker Hub 在其官網正式回應了這一事件，表示洩露的資料來自使用者的非财務性資料子集（a subset of non-financial user data）。

目前正在加強整體安全流程和稽核安全政策，除此之外還增加了額外的監測工具。

FAQ

最後對使用者的常見問題進行了解答，摘錄部分如下：

問：這次事件是否影響到 Docker 官方鏡像？

沒有官方鏡像遭受入侵，針對官方鏡像我們有提供額外的安全措施，包括 git commit 上的 GPG 簽名和 Notary 簽名，以此來確定每個鏡像的完整性。

問：如何判斷是否受到這次事件的影響？

如果收到了 Docker 發送的關于本次事件的電子郵件，這說明可能會受到影響。

如果發現從 GitHub 或 Bitbucket 到 Docker Hub 的連接配接已經中斷，說明也可能遭受影響。

如果收到重置密碼的連結，這說明帳号的哈希密碼可能已經被洩露。對于存在洩露風險的密碼，我們已将其廢棄，并向使用者發送密碼重置連結來作為預防措施。

問：需要做什麼？

對于所有 Docker Hub 使用者，不需要執行任何操作來確定安全性。因為我們已将密碼重置連結發送給可能洩露哈希密碼的全部使用者。

對于曾使用過自動建構服務的使用者，需要重新從 GitHub 或 Bitbucket 連接配接到 Docker Hub。

問：是否需要在 Docker Hub 上重置密碼？

不需要。對于已洩露的哈希密碼，我們已将其廢棄，并通過電子郵件向發送了密碼重置連結。如果沒有收到密碼重置連結，可通路此處以重置密碼（https://id.docker.com/reset-password/?service=43f17c5f-9ba4-4f13-853d-9d0074e349a7）。

問：為什麼未收到通知就删除了我的 GitHub Token？

為了保護使用者的資料安全，我們采取了盡快撤銷 Token 的措施，同時努力采取其他措施來保護網站的安全。這些工作完成後，我們才向可能受影響的使用者發去通知。

問：現在将 Docker Hub 倉庫重新連接配接到 GitHub 倉庫是否會面臨風險？

不會。重新連接配接會建立一個新的隻讀部署密鑰（read-only deploy key）。

問：目前無法登入 Docker Hub，是因為帳号被攻擊了嗎？