Docker Hub piraté : des « données sensibles » de 190 000 comptes ont été exposées
Histoire de commencer la semaine en douceur
Le 29 avril 2019 à 06h18
2 min
Internet
Internet
Docker a été piraté jeudi dernier. Les noms d'utilisateur, empreintes de mots de passe et jetons d'authentification de 190 000 utilisateurs ont ainsi été exposés pendant une « brève période ».
Docker a envoyé un email à ses clients pour les prévenir d'un « accès non autorisé à une base de données Hub unique comprenant un sous-ensemble de données non financières d'utilisateurs ». Environ 190 000 comptes sont concernés, ce qui représente un peu moins de 5 % des utilisateurs de Hub, selon le directeur du support Kent Lamb.
Mots de passe hachés et jetons d'authentification
« Les données comprennent les noms et mots de passe hachés [méthode non précisée, ndlr] pour un petit pourcentage de ces utilisateurs, ainsi que les jetons Github et Bitbucket pour Docker autobuild ». Comme son nom l'indique, cette fonctionnalité permet de compiler du code depuis un dépôt et le transférer automatiquement dans Docker Hub.
Bien évidemment, les mots de passe et jetons concernés ont été immédiatement révoqués par Docker. Comme toujours, les consignes sont les mêmes : changer votre mot de passe sur Docker, ainsi que sur tous les sites où vous l'avez réutilisé, ce qui n'est jamais une bonne idée.
- Mots de passe : on vous aide à choisir le gestionnaire qu'il vous faut
- Choisir un bon mot de passe : les règles à connaître, les pièges à éviter
Attention si vous utilisez Automated build
Concernant les jetons, le risque est important puisqu’un (ou plusieurs) pirate(s) a pu les utiliser pour accéder aux dépôts et modifier du code suivant les autorisations qu'ils contenaient. Ces changements ont alors pu être automatiquement compilés et déployés, avec les risques que l'on imagine facilement.
Bref, une inspection minutieuse des logs (ici pour Github, là pour Bitbucket) et du code s'imposent. La révocation des jetons peut aussi entrainer une déconnexion du service Automated build, précise Docker. Dans ce cas, il faudra délier et relier vos dépôts Github et Bitbucket, comme expliqué sur cette page.
De son côté, Docker continue son enquête et promet qu'il partagera de nouvelles informations dès que possible. Si les conséquences de cette attaque sont connues pour les utilisateurs, la société ne précise pas comment une personne a pu s'introduire dans sa base de données.
Docker Hub piraté : des « données sensibles » de 190 000 comptes ont été exposées
-
Mots de passe hachés et jetons d'authentification
-
Attention si vous utilisez Automated build
Commentaires (14)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 29/04/2019 à 06h34
Ce genre de situation peut arriver à tout le monde, ce qu’il faut maintenant observer c’est le temps de réaction (plutôt bon jusqu’à présent), le temps de l’analyse et le temps pour apporter une / des correction(s). En tout cas le coup de la transparence est indispensable.
Le 29/04/2019 à 07h37
Ils ont réagi plutôt rapidement et la FAQ mise en place pour répondre aux questions autour de cette intrusion est un très bon exemple de transparence, dont beaucoup devraient s’inspirer.
Le 29/04/2019 à 07h42
ne pas instancier d’images docker de moins de 3j permet de se prémunir de ce genre de chose, en plus de laisser les autres essuyer les plâtres comme pour n’importe qu’elle MAJ.
Le 29/04/2019 à 08h14
Mot de passe changé.
Pas de build dans l’historique.
Logs github qui indiquent la suppression du Oauth.
Tout a l’air bon, reste à faire les tokens pour configurer les builds.
Le 29/04/2019 à 08h53
Heureusement que j’ai creer un compte avec une adresse mail temporaire/pass bidon, tout ca juste pour download docker………………………….
Le 29/04/2019 à 08h59
Le crime suit l’usage : Docker intéresse les développeurs, alors il intéresse les pirates. Or à force de tout faire de la même manière, et de tout mettre au même endroit, on finit par construire un SPOF de sécurité.
Le 29/04/2019 à 09h23
Le 29/04/2019 à 10h46
Des token github leakés, si ce sont des comptes corporates, ca peut faire tres tres mal…
Le 29/04/2019 à 13h28
Vous utilisez ce service? Ca fonctionne bien ?
Le 29/04/2019 à 14h40
Le 29/04/2019 à 14h42
Ah bon ?
On parle bien de ça =>https://hub.docker.com/editions/community/docker-ce-desktop-windows ?
Le 30/04/2019 à 14h51
C’est à dire que depuis le passage de la RGPD les entreprises ont intérêt à communiquer très vite sinon ça peut leur coûter extrêmement cher ensuite…
Ca a bien fait chier les petites entreprises, mais faut reconnaître que de puis qu’elle est passée les grosses boîtes réagissent beaucoup plus vite aux compromissions.
Le 30/04/2019 à 19h31
Le 03/05/2019 à 17h36