Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Docker Hub piraté : des « données sensibles » de 190 000 comptes ont été exposées

Histoire de commencer la semaine en douceur
Internet 2 min
Docker Hub piraté : des « données sensibles » de 190 000 comptes ont été exposées

Docker a été piraté jeudi dernier. Les noms d'utilisateur, empreintes de mots de passe et jetons d'authentification de 190 000 utilisateurs ont ainsi été exposés pendant une « brève période ».

Docker a envoyé un email à ses clients pour les prévenir d'un « accès non autorisé à une base de données Hub unique comprenant un sous-ensemble de données non financières d'utilisateurs ». Environ 190 000 comptes sont concernés, ce qui représente un peu moins de 5 % des utilisateurs de Hub, selon le directeur du support Kent Lamb.

Mots de passe hachés et jetons d'authentification

« Les données comprennent les noms et mots de passe hachés [méthode non précisée, ndlr] pour un petit pourcentage de ces utilisateurs, ainsi que les jetons Github et Bitbucket pour Docker autobuild ». Comme son nom l'indique, cette fonctionnalité permet de compiler du code depuis un dépôt et le transférer automatiquement dans Docker Hub. 

Bien évidemment, les mots de passe et jetons concernés ont été immédiatement révoqués par Docker. Comme toujours, les consignes sont les mêmes : changer votre mot de passe sur Docker, ainsi que sur tous les sites où vous l'avez réutilisé, ce qui n'est jamais une bonne idée.

Attention si vous utilisez Automated build 

Concernant les jetons, le risque est important puisqu’un (ou plusieurs) pirate(s) a pu les utiliser pour accéder aux dépôts et modifier du code suivant les autorisations qu'ils contenaient. Ces changements ont alors pu être automatiquement compilés et déployés, avec les risques que l'on imagine facilement.

Bref, une inspection minutieuse des logs (ici pour Github, là pour Bitbucket) et du code s'imposent. La révocation des jetons peut aussi entrainer une déconnexion du service Automated build, précise Docker. Dans ce cas, il faudra délier et relier vos dépôts Github et Bitbucket, comme expliqué sur cette page.

De son côté, Docker continue son enquête et promet qu'il partagera de nouvelles informations dès que possible. Si les conséquences de cette attaque sont connues pour les utilisateurs, la société ne précise pas comment une personne a pu s'introduire dans sa base de données.

15 commentaires
Avatar de KzR Abonné
Avatar de KzRKzR- 29/04/19 à 06:34:36

Ce genre de situation peut arriver à tout le monde, ce qu'il faut maintenant observer c'est le temps de réaction (plutôt bon jusqu'à présent), le temps de l'analyse et le temps pour apporter une / des correction(s). En tout cas le coup de la transparence est indispensable.

Avatar de Furanku Abonné
Avatar de FurankuFuranku- 29/04/19 à 07:37:09

Ils ont réagi plutôt rapidement et la FAQ mise en place pour répondre aux questions autour de cette intrusion est un très bon exemple de transparence, dont beaucoup devraient s'inspirer.

Avatar de JCLB Abonné
Avatar de JCLBJCLB- 29/04/19 à 07:42:53

ne pas instancier d'images docker de moins de 3j permet de se prémunir de ce genre de chose, en plus de laisser les autres essuyer les plâtres comme pour n'importe qu'elle MAJ.

Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 29/04/19 à 08:14:21

Mot de passe changé.
Pas de build dans l'historique.
Logs github qui indiquent la suppression du Oauth.

Tout a l'air bon, reste à faire les tokens pour configurer les builds.

Avatar de Naneday INpactien
Avatar de NanedayNaneday- 29/04/19 à 08:53:32

Heureusement que j'ai creer un compte avec une adresse mail temporaire/pass bidon, tout ca juste pour download docker...............................

Avatar de janiko Abonné
Avatar de janikojaniko- 29/04/19 à 08:59:22

Le crime suit l'usage : Docker intéresse les développeurs, alors il intéresse les pirates. Or à force de tout faire de la même manière, et de tout mettre au même endroit, on finit par construire un SPOF de sécurité.

JCLB a écrit :

ne pas instancier d'images docker de moins de 3j permet de se prémunir de ce genre de chose, en plus de laisser les autres essuyer les plâtres comme pour n'importe qu'elle MAJ.

Je ne vois pas bien l'intérêt en termes de sécurité... Si jeudi prochain j'utilise une image de plus de 3 jours, je tomberai sur une des images ayant pu être vérolée...

:fumer:

Avatar de JCLB Abonné
Avatar de JCLBJCLB- 29/04/19 à 09:23:25

janiko a écrit :

Le crime suit l'usage : Docker intéresse les développeurs, alors il intéresse les pirates. Or à force de tout faire de la même manière, et de tout mettre au même endroit, on finit par construire un SPOF de sécurité.

Je ne vois pas bien l'intérêt en termes de sécurité... Si jeudi prochain j'utilise une image de plus de 3 jours, je tomberai sur une des images ayant pu être vérolée...

:fumer:

Tu as le temps d'être averti et de bloquer les maj, et de mettre en place un retour à la normal progressif après contrôle.

Avatar de Monsieur le Chat Abonné
Avatar de Monsieur le ChatMonsieur le Chat- 29/04/19 à 10:46:22

Des token github leakés, si ce sont des comptes corporates, ca peut faire tres tres mal...

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 29/04/19 à 13:28:58

Vous utilisez ce service? Ca fonctionne bien ?

Avatar de ForceRouge INpactien
Avatar de ForceRougeForceRouge- 29/04/19 à 14:40:18

Naneday a écrit :

Heureusement que j'ai creer un compte avec une adresse mail temporaire/pass bidon, tout ca juste pour download docker...............................

Les repo de la version community sont public, pas besoin de compte

Il n'est plus possible de commenter cette actualité.
Page 1 / 2