Docker Hub piraté – 190 000 comptes exposés, les jetons GitHub révoqués
Et les compilations désactivées

Docker a publié un avis de sécurité tard le vendredi soir pour annoncer un accès non autorisé à une base de données Docker Hub par une personne non identifiée. Docker a pris connaissance de l’intrusion, qui n’a duré qu’une brève période, le 25 avril 2019. La Base de données Docker Hub a exposé des informations sensibles pour environ 190 000 utilisateurs, y compris des noms d'utilisateur et des mots de passe hachés, ainsi que des jetons pour les dépôts GitHub et Bitbucket dont une utilisation non recommandée par une personne tierce pourrait mettre en cause l’intégrité des dépôts de code.

Docker est un système de virtualisation par conteneur visant à faire tourner une application ou un service sans nécessiter le lancement d'une machine virtuelle complète. La technologie est disponible gratuitement et permet aux développeurs de développer les applications facilement. Selon l’avis de Docker, les informations exposées dans la base de données comprenaient des jetons d'accès pour les dépôts GitHub et Bitbucket qui sont utilisés pour la compilation automatique de code sur Docker Hub ainsi que les noms d'utilisateur et mots de passe d'un petit pourcentage d'utilisateurs – 190 000 comptes utilisateurs représentant moins de 5 % des utilisateurs du Docker Hub.

Nom : link_HmRJcIRufg9BNA5T5Co0Az22GuFuQXk9,w300h223.jpg
Affichages : 15490
Taille : 3,9 Ko

En effet, les clés d'accès GitHub et Bitbucket stockées dans Docker Hub permettent aux développeurs de modifier le code de leur projet et de compiler automatiquement l'image sur Docker Hub. Le risque que pourraient courir les 190 000 utilisateurs dont le compte a été exposé est que si une personne malveillante obtient l'accès à leurs jetons d’accès, elle pourrait avoir accès à leur dépôt privé de code qu’elle pourrait éventuellement modifier en fonction des permissions stockées dans le jeton.

Alors que si le code est modifié à des mauvaises fins et que des images compromises ont été déployées, cela pourrait mener à de sérieuses attaques de la chaîne d'approvisionnement, car les images Docker Hub sont couramment utilisées dans les configurations et les applications de serveurs.

Dans son avis de sécurité publié vendredi soir, Docker a déclaré avoir déjà révoqué tous les jetons et clés d'accès exposés. Docker a également déclaré qu’il améliore ses processus généraux de sécurité et révise ses politiques. Il a aussi annoncé que de nouveaux outils de surveillance sont maintenant mis en place. Toutefois, il est important que les développeurs, qui ont utilisé Docker Hub autobuild, vérifient les dépôts de leur projet pour détecter d’éventuel accès non autorisé.

Vous trouverez, ci-dessous, l’avis de sécurité publié par Docker le vendredi soir :


Le jeudi 25 avril 2019, nous avons découvert un accès non autorisé à une base de données Hub unique stockant un sous-ensemble de données d'utilisateurs non financiers. Dès la découverte, nous avons agi rapidement pour intervenir et sécuriser le site.
Nous voulons vous informer de ce que nous avons appris de notre enquête en cours, y compris les comptes Docker Hub qui sont touchés et les mesures que les utilisateurs devraient prendre.

Voici ce que nous avons appris :

Au cours d'une brève période d'accès non autorisé à une base de données Docker Hub, des données sensibles provenant d'environ 190 000 comptes peuvent avoir été exposées (moins de 5 % des utilisateurs Hub). Les données comprennent les noms d'utilisateur et les mots de passe hachés d'un petit pourcentage de ces utilisateurs, ainsi que les jetons Github et Bitbucket pour Docker autobuilds.

Mesures à prendre :

  • Nous demandons aux utilisateurs de changer leur mot de passe sur Docker Hub et tout autre compte qui partage ce mot de passe.
  • Pour les utilisateurs avec des serveurs de compilation automatique susceptibles d'avoir été affectés, nous avons révoqué les clés d'accès et les jetons GitHub, et vous demandons de vous reconnecter à vos dépôts et de vérifier les journaux de sécurité pour voir si des actions imprévues ont eu lieu.
  • Vous pouvez consulter les actions de sécurité sur vos comptes GitHub ou BitBucket pour voir si un accès inattendu s'est produit au cours des dernières 24 heures – voir https://help.github.com/en/articles/...r-security-log et https://bitbucket.org/blog/new-audit...when-and-where
  • Cela peut affecter vos compilations en cours à partir de notre service de compilation automatisée. Vous devrez peut-être déconnecter puis reconnecter votre fournisseur de source Github et Bitbucket comme décrit dans https://docs.docker.com/docker-hub/builds/link-source/


Nous améliorons nos processus généraux de sécurité et révisons nos politiques. D'autres outils de surveillance sont maintenant en place. Notre enquête est toujours en cours et nous partagerons d'autres renseignements au fur et à mesure qu'ils seront disponibles.

Je vous remercie,

Kent Lamb Directeur de Docker Support info@docker.com



Les développeurs avec un compte Hub susceptible d’avoir été affecté passeront certainement le week-end à évaluer leur code afin de corriger les images compromises générées automatiquement.

Source : Avis de sécurité de Docker

Et vous ?

Qu’en pensez-vous ?
Avez-vous un compte Hub ? Avez-vous remarqué un accès inattendu à votre compte GitHub ou BitBucket qui pourrait être lié à cet accès non autorisé ?
Avez-vous déjà procédé aux actions recommandées par le support Docker ?

Lire aussi

Oracle supprime une image Docker approuvée par la communauté et utilisée lors des tests sur son SGBD, évoquant une violation de ses droits d'auteur
Docker 2.0 EE, la plateforme de pilotage d'architectures en containers, bénéficie de la technologie Kubernetes, qui vient aux côtés de Swarm
Le gestionnaire de mots de passe Blur expose les data de près de 2,4 millions d'utilisateurs, à cause d'une erreur de configuration d'instance AWS
MongoDB : 202 millions de CV privés exposés sur internet, à cause d'une base de données non protégée
Cybersécurité : 157 Go de données de plus d'une centaine d'entreprises manufacturières ont été exposées, sur un serveur public non sécurisé