Docker Hub piraté : des « données sensibles » de 190 000 comptes ont été exposées

Docker Hub piraté : des « données sensibles » de 190 000 comptes ont été exposées

Histoire de commencer la semaine en douceur

Avatar de l'auteur

Sébastien Gavois

Publié dansInternet

29/04/2019
15
Docker Hub piraté : des « données sensibles » de 190 000 comptes ont été exposées

Docker a été piraté jeudi dernier. Les noms d'utilisateur, empreintes de mots de passe et jetons d'authentification de 190 000 utilisateurs ont ainsi été exposés pendant une « brève période ».

Docker a envoyé un email à ses clients pour les prévenir d'un « accès non autorisé à une base de données Hub unique comprenant un sous-ensemble de données non financières d'utilisateurs ». Environ 190 000 comptes sont concernés, ce qui représente un peu moins de 5 % des utilisateurs de Hub, selon le directeur du support Kent Lamb.

Mots de passe hachés et jetons d'authentification

« Les données comprennent les noms et mots de passe hachés [méthode non précisée, ndlr] pour un petit pourcentage de ces utilisateurs, ainsi que les jetons Github et Bitbucket pour Docker autobuild ». Comme son nom l'indique, cette fonctionnalité permet de compiler du code depuis un dépôt et le transférer automatiquement dans Docker Hub. 

Bien évidemment, les mots de passe et jetons concernés ont été immédiatement révoqués par Docker. Comme toujours, les consignes sont les mêmes : changer votre mot de passe sur Docker, ainsi que sur tous les sites où vous l'avez réutilisé, ce qui n'est jamais une bonne idée.

Attention si vous utilisez Automated build 

Concernant les jetons, le risque est important puisqu’un (ou plusieurs) pirate(s) a pu les utiliser pour accéder aux dépôts et modifier du code suivant les autorisations qu'ils contenaient. Ces changements ont alors pu être automatiquement compilés et déployés, avec les risques que l'on imagine facilement.

Bref, une inspection minutieuse des logs (ici pour Github, là pour Bitbucket) et du code s'imposent. La révocation des jetons peut aussi entrainer une déconnexion du service Automated build, précise Docker. Dans ce cas, il faudra délier et relier vos dépôts Github et Bitbucket, comme expliqué sur cette page.

De son côté, Docker continue son enquête et promet qu'il partagera de nouvelles informations dès que possible. Si les conséquences de cette attaque sont connues pour les utilisateurs, la société ne précise pas comment une personne a pu s'introduire dans sa base de données.

15
Avatar de l'auteur

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

#Flock a sa propre vision de l’inclusion

Retour à l’envoyeur

13:39 Flock 15
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

On est déjà à la V2 de Next ?

11:55 33
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Me voilà à poil sur Internet

17:18 Next 16

Sommaire de l'article

Introduction

Mots de passe hachés et jetons d'authentification

Attention si vous utilisez Automated build 

#Flock a sa propre vision de l’inclusion

Flock 15
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

33
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 16
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 18
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 10
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 4

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 16

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 15
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 35
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 52
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 10

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 12
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 62

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 38
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 7
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Next 151

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Science 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hard 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (15)


KzR Abonné
Il y a 5 ans

Ce genre de situation peut arriver à tout le monde, ce qu’il faut maintenant observer c’est le temps de réaction (plutôt bon jusqu’à présent), le temps de l’analyse et le temps pour apporter une / des correction(s). En tout cas le coup de la transparence est indispensable.


Furanku Abonné
Il y a 5 ans

Ils ont réagi plutôt rapidement et la FAQ mise en place pour répondre aux questions autour de cette intrusion est un très bon exemple de transparence, dont beaucoup devraient s’inspirer.


JCLB Abonné
Il y a 5 ans

ne pas instancier d’images docker de moins de 3j permet de se prémunir de ce genre de chose, en plus de laisser les autres essuyer les plâtres comme pour n’importe qu’elle MAJ.


Obidoub
Il y a 5 ans

Mot de passe changé.
Pas de build dans l’historique.
Logs github qui indiquent la suppression du Oauth.

Tout a l’air bon, reste à faire les tokens pour configurer les builds.


Naneday
Il y a 5 ans

Heureusement que j’ai creer un compte avec une adresse mail temporaire/pass bidon, tout ca juste pour download docker………………………….


Jean_G Abonné
Il y a 5 ans

Le crime suit l’usage : Docker intéresse les développeurs, alors il intéresse les pirates. Or à force de tout faire de la même manière, et de tout mettre au même endroit, on finit par construire un SPOF de sécurité.






JCLB a écrit :

ne pas instancier d’images docker de moins de 3j permet de se prémunir de ce genre de chose, en plus de laisser les autres essuyer les plâtres comme pour n’importe qu’elle MAJ.

Je ne vois pas bien l’intérêt en termes de sécurité… Si jeudi prochain j’utilise une image de plus de 3 jours, je tomberai sur une des images ayant pu être vérolée…

<img data-src=" />



JCLB Abonné
Il y a 5 ans






janiko a écrit :

Le crime suit l’usage : Docker intéresse les développeurs, alors il intéresse les pirates. Or à force de tout faire de la même manière, et de tout mettre au même endroit, on finit par construire un SPOF de sécurité.

Je ne vois pas bien l’intérêt en termes de sécurité… Si jeudi prochain j’utilise une image de plus de 3 jours, je tomberai sur une des images ayant pu être vérolée…

<img data-src=" />


Tu as le temps d’être averti et de bloquer les maj, et de mettre en place un retour à la normal progressif après contrôle.



Monsieur le Chat
Il y a 5 ans

Des token github leakés, si ce sont des comptes corporates, ca peut faire tres tres mal…


crocodudule
Il y a 5 ans

Vous utilisez ce service? Ca fonctionne bien ?


ForceRouge Abonné
Il y a 5 ans






Naneday a écrit :

Heureusement que j’ai creer un compte avec une adresse mail temporaire/pass bidon, tout ca juste pour download docker………………………….



Les repo de la version community sont public, pas besoin de compte



Ubik! Abonné
Il y a 5 ans
Poppu78
Il y a 5 ans

C’est à dire que depuis le passage de la RGPD les entreprises ont intérêt à communiquer très vite sinon ça peut leur coûter extrêmement cher ensuite…
Ca a bien fait chier les petites entreprises, mais faut reconnaître que de puis qu’elle est passée les grosses boîtes réagissent beaucoup plus vite aux compromissions.


ForceRouge Abonné
Il y a 5 ans






Ubik! a écrit :

Ah bon ?
On parle bien de ça =&gt;https://hub.docker.com/editions/community/docker-ce-desktop-windows ?



Pardon, tu fais du docker sous windows, toute mes condoléances.

Sinon, je parlais de ca =&gt;https://docs.docker.com/install/linux/docker-ce/centos/#install-using-the-reposi…



oursgris Abonné
Il y a 5 ans






ForceRouge a écrit :

Pardon, tu fais du docker sous windows, toute mes condoléances.

Sinon, je parlais de ca =&gt;https://docs.docker.com/install/linux/docker-ce/centos/#install-using-the-reposi…


l’élitisme quand tu nous tiens. juste parce que tu ne savais pas tout.