Orang yang tidak memiliki otoritas mendapatkan akses ke basis data Docker Hub, yang mana dari peretasan basis data Docker Hub ini mengekspos informasi sensitif untuk sekitar 190.000 pengguna. Informasi ini termasuk beberapa nama pengguna dan kata sandi hash, serta token untuk repositori GitHub dan Bitbucket.
Menurut pemberitahuan keamanan yang dikirim Jumat malam, Docker mengetahui adanya akses tidak sah ke basis data Docker Hub pada 25 April 2019.
Setelah melakukan penyelidikan, telah ditetapkan bahwa basis data berisi informasi untuk sekitar 190.000 pengguna. Informasi ini termasuk token akses untuk repositori GitHub dan Bitbucket yang digunakan untuk autobuild Docker serta nama pengguna dan kata sandi untuk sebagian kecil pengguna.
Docker sent out a notification about "unauthorised access" to some of their docker hub systems.
You should all roll your creds. #docker #dockerhub #azops #cloudops #devops #security #globalazure #secops #devsecops #k8s #containers pic.twitter.com/HoYvlpu4TJ— David O'Brien @ home (@david_obrien) April 27, 2019
Token akses GitHub dan Bitbucket disimpan di Docker Hub, memungkinkan pengembang untuk memodifikasi kode proyek mereka dan membuatnya secara otomatis mem-build-nya, atau autobuild, images pada Docker Hub. Namun, jika pihak ketiga mendapatkan akses ke token ini, itu akan memungkinkan mereka untuk mendapatkan akses ke kode repositori pribadi dan mungkin memodifikasinya tergantung pada izin yang disimpan dalam token.
Jika token ini telah disalahgunakan untuk memodifikasi kode dan images sudah di deploy, itu dapat menyebabkan serangan rantai pasokan yang serius karena images Docker Hub biasanya digunakan dalam konfigurasi dan aplikasi server.
Sementara Docker telah menyatakan mereka telah mencabut semua token yang terbuka dan kunci akses, penting bagi pengembang yang menggunakan autobuild Docker Hub untuk memeriksa repositori proyek mereka untuk akses yang tidak sah. Lebih buruk lagi, dengan pemberitahuan ini datang terlambat pada Jumat malam, pengembang berpotensi memiliki malam yang panjang di depan mereka ketika mereka memeriksa kode mereka.
