Algumas horas atrás, as seguintes mensagens foram enviadas para alguns usuários do DockerHub:
“Na quinta-feira, 25 de abril de 2019, descobrimos o acesso não autorizado a um dos bancos de dados do DockerHub, que armazena parte dos dados não financeiros dos usuários. Após a detecção, imediatamente pegamos todo o necessário para proteger os dados do usuário.
E agora gostarĂamos de compartilhar as informações que pudemos encontrar durante a investigação, incluindo quais contas do DockerHub foram afetadas e quais ações seus proprietários devem executar agora.
Aqui está o que conseguimos descobrir:
Dentro de um curto perĂodo de acesso nĂŁo autorizado ao banco de dados DockerHub, dados confidenciais de aproximadamente 190.000 contas (menos de 5% dos usuários do serviço) podem ser divulgados. Os dados incluem nomes de usuário e hashes de senha de uma pequena porcentagem dos usuários acima, alĂ©m de tokens do GitHub e BitBucket usados ​​para montagem automática de contĂŞineres.
O que deve ser feito agora:
- Pedimos aos usuários que alterem as senhas do DockerHub e de qualquer outra conta usando a mesma senha.
- Para usuários que usaram montagens automáticas que poderiam afetar isso, redefinimos os tokens e as chaves de acesso. Também pedimos que eles verifiquem seus repositórios quanto a atividades suspeitas recentes.
- Para descobrir como investigar atividades suspeitas nas suas contas GitHub e BitBucket nas últimas 24 horas, vá para help.github.com/en/articles/reviewing-your-security-log e bitbucket.org/blog/new-audit -logs-dar-quem-o-que-quando-e-onde
- Isso pode afetar suas compilações atuais do nosso serviço de montagem automática. Você também pode precisar desconectar e reconectar suas contas GitHub e BitBucket. Isso é descrito em detalhes aqui .
Por sua vez, melhoraremos nossos sistemas de segurança e revisaremos nossas polĂticas. TambĂ©m configuramos mĂ©tricas adicionais para rastrear possĂveis atividades ilegais no futuro.
Ainda estamos investigando o incidente e informaremos quando novos detalhes estiverem disponĂveis. ”
Como de costume, verificamos nosso próprio e-mail, nossas contas nos serviços especificados e criamos senhas novamente. Quando novas informações aparecerem, atualizaremos esta postagem.