orangeitems’s diary

クラウドで働くエンジニアの日々の感想です(ほぼ毎日更新)。

Docker Hubのデータベースがハックされ190,000ユーザーのデータが一時的に露出したこと:速報

f:id:orangeitems:20190427235259j:plain

 

Docker Hubにて重大セキュリティインシデントが発生

10連休初日からリスク発生です。

Docker Hubという、Dockerを使う人ならば誰でも使っていると言っても過言ではない、Docker純正のパブリックコンテナ置き場(公式リポジトリ)が、ハッキングされ、190,000ユーザーのデータが露出した・・とあります。

 

各ニュース記事

ZDNet

www.zdnet.com

Docker Hub, the official repository for Docker container images, has announced a security breach on late Friday night.

 

BLEEPING COMPUTER

www.bleepingcomputer.com

An unauthorized person gained access to a Docker Hub database that exposed sensitive information for approximately 190,000 users. This information included some usernames and hashed passwords, as well as tokens for GitHub and Bitbucket repositories.

 

GRAHUM CLUKEY

www.grahamcluley.com

Some bad news arrived late on Friday in the inboxes of users of Docker, the container platform beloved by developers:

 

まとめ

事件の概要は以下のようです。

2019年4月25日木曜日、私たちは非金融ユーザーデータのサブセットを格納している単一のHubデータベースへの不正アクセスを発見しました。発見されると、私たちはすぐにサイトに介入して保護するように行動しました。

Docker Hubデータベースへの不正アクセスの短時間の間に、約190,000のアカウントから機密データが公開された可能性があります(Hubユーザーの5%未満)。データには、これらのユーザーのごく一部のユーザー名とハッシュされたパスワード、およびDockerの自動構築用のGitHubとBitbucketのトークンが含まれています。

 

上記はメールにて、影響を受けるユーザーに対してのみ送られました。公式ブログやTwitterでの言及は現在ありません。

Kenn Whiteさんがツイッターでそのメールの画像を公開しています。

 

 

いったん、影響を受けるユーザーについてはトークンとアクセスキーは無効にしてあるそうです。 

とりあえず、現行ユーザーは以下を実施してくれ、とあります。

・現在のパスワードを変更すること。
・セキュリティーログを確認し、不審なアクセスが無かったか調べること

190,000ユーザーで5%ということは、400万ユーザーぐらいがDocker Hubを使っているんですね。

昨今はコンテナで開発している人は増えているので、この類の問題は神経質になる必要があります。

とりあえず、Docker Hubを使っている人は、会社のメールの確認ぐらいはしておいたほうが良いと思います。連休初日からきましたね・・。

 

続報(2019/4/28)

 公式の情報がアップされましたのでリンクしておきます。

success.docker.com

(日本語訳)

Docker Hubデータベースへの不正アクセス

 

■問題

2019年4月25日木曜日、私たちは非金融ユーザーデータのサブセットを格納している単一のDocker Hubデータベースへの不正アクセスを発見しました。発見されると、私たちはすぐにサイトに介入して保護するように行動しました。

どのHubアカウントが影響を受けているか、およびユーザーがどのような行動を取るべきかなど、継続的な調査から学んだことをお知らせします。

 

■解決

Docker Hubデータベースへの不正アクセスの短時間の間に、約190,000のアカウントから機密データが公開された可能性があります(Hubユーザーの5%未満)。データには、これらのユーザーのごく一部のユーザー名とハッシュされたパスワード、およびDockerの自動構築用のGitHubとBitbucketのトークンが含まれています。

・Docker Hubおよびこのパスワードを共有している他のアカウントでパスワードを変更するようユーザーに求めています。

・影響を受けた可能性がある自動ビルドを使用しているユーザーのために、GitHubトークンとアクセスキーを無効にしました。これはあなたの自動構築が失敗することを意味します、そして我々はあなたがあなたのリポジトリに再接続し、予期しない動作が起こったかどうか見るためにセキュリティログをチェックすることをお願いします。

・予期しないアクセスが発生したかどうかを確認するために、GitHubまたはBitBucketアカウントのセキュリティアクションを確認することができます。https: //help.github.com/en/articles/reviewing-your-security-logおよびhttps://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-whereを参照してください。

https://docs.docker.com/docker-hub/builds/link-source/に記載されているように、リンクを解除してからGitHubとBitbucketのソースプロバイダを再リンクする必要があるかもしれません。

セキュリティプロセス全体を強化し、ポリシーを見直しています。追加の監視ツールが用意されています。

 

■よくある質問

Q:どうしたのですか。

Docker Hubデータベースへの不正アクセスが少しの間ありました。この間に、約190,000のアカウントから機密データがいくつか公開された可能性があります(ハブユーザーの5%未満)。データには、ごく一部のユーザーのユーザー名とハッシュされたパスワード、およびDockerの自動構築用のGitHubとBitbucketのトークンが含まれます。これらのトークンはすべて無効にされています。

 

Q:Dockerのオフィシャルイメージのいずれかがこのインシデントの影響を受けましたか?

A:公式のイメージは侵害されていません。各イメージの整合性を確保するために、gitコミットのGPG署名や公証人の署名など​​、オフィシャルイメージに追加のセキュリティ対策を講じています。

 

Q:Docker HubリポジトリをGitHubリポジトリに再リンクした場合、危険にさらされますか?

A:いいえ。DockerHubリポジトリを再リンクすると、GitHubまたはBitbucketのソースリポジトリへの新しい読み取り専用のデプロイキーが作成されます。

 

Q:Docker Hubにサインインできません。ハッキングされましたか?

A:パスワードハッシュが影響を受けた可能性がある各ユーザーにパスワードリセットリンクを送信しました。あなたのパスワードをリセットするリンクを受け取ったかどうかあなたの電子メールをチェックしてください。ご不明な点がございましたら、info@docker.comにお問い合わせください。

 

Q:この不正アクセスの影響を受けたかどうかはどうすればわかりますか?

A:この問題についてDockerから直接電子メールを受け取った場合は、影響を受けている可能性があります。パスワードリセットリンクを受け取った場合は、パスワードハッシュが公開されている可能性があります。念のため、無効にしてパスワードリセットリンクを送信しました。自動構築を使用していて、GitHubまたはBitbucketリポジトリがDocker Hubからリンク解除されている場合、自動構築を正しく機能させるにはそれらのリポジトリを再リンクする必要があります。

 

Q:Docker Hubの自動構築機能を使ったことがありません。なぜ私は電子メールを受け取ったのですか?

A:過去にGitHubまたはBitbucketアカウントをDocker Hubにリンクしていたか、パスワードハッシュが公開されていた可能性があります。アカウントをDocker Hubにリンクした場合は、リンクを解除しました。パスワードハッシュが公開されている可能性がある場合は、念のため無効にしてパスワードリセットリンクを送信しています。