Docker a été piraté jeudi dernier. Les noms d'utilisateur, empreintes de mots de passe et jetons d'authentification de 190 000 utilisateurs ont ainsi été exposés pendant une « brève période ».
Docker a envoyé un email à ses clients pour les prévenir d'un « accès non autorisé à une base de données Hub unique comprenant un sous-ensemble de données non financières d'utilisateurs ». Environ 190 000 comptes sont concernés, ce qui représente un peu moins de 5 % des utilisateurs de Hub, selon le directeur du support Kent Lamb.
Mots de passe hachés et jetons d'authentification
« Les données comprennent les noms et mots de passe hachés [méthode non précisée, ndlr] pour un petit pourcentage de ces utilisateurs, ainsi que les jetons Github et Bitbucket pour Docker autobuild ». Comme son nom l'indique, cette fonctionnalité permet de compiler du code depuis un dépôt et le transférer automatiquement dans Docker Hub.
Bien évidemment, les mots de passe et jetons concernés ont été immédiatement révoqués par Docker. Comme toujours, les consignes sont les mêmes : changer votre mot de passe sur Docker, ainsi que sur tous les sites où vous l'avez réutilisé, ce qui n'est jamais une bonne idée.
- Mots de passe : on vous aide à choisir le gestionnaire qu'il vous faut
- Choisir un bon mot de passe : les règles à connaître, les pièges à éviter
Attention si vous utilisez Automated build
Concernant les jetons, le risque est important puisqu’un (ou plusieurs) pirate(s) a pu les utiliser pour accéder aux dépôts et modifier du code suivant les autorisations qu'ils contenaient. Ces changements ont alors pu être automatiquement compilés et déployés, avec les risques que l'on imagine facilement.
Bref, une inspection minutieuse des logs (ici pour Github, là pour Bitbucket) et du code s'imposent. La révocation des jetons peut aussi entrainer une déconnexion du service Automated build, précise Docker. Dans ce cas, il faudra délier et relier vos dépôts Github et Bitbucket, comme expliqué sur cette page.
De son côté, Docker continue son enquête et promet qu'il partagera de nouvelles informations dès que possible. Si les conséquences de cette attaque sont connues pour les utilisateurs, la société ne précise pas comment une personne a pu s'introduire dans sa base de données.
Commentaires (15)
Ce genre de situation peut arriver à tout le monde, ce qu’il faut maintenant observer c’est le temps de réaction (plutôt bon jusqu’à présent), le temps de l’analyse et le temps pour apporter une / des correction(s). En tout cas le coup de la transparence est indispensable.
Ils ont réagi plutôt rapidement et la FAQ mise en place pour répondre aux questions autour de cette intrusion est un très bon exemple de transparence, dont beaucoup devraient s’inspirer.
ne pas instancier d’images docker de moins de 3j permet de se prémunir de ce genre de chose, en plus de laisser les autres essuyer les plâtres comme pour n’importe qu’elle MAJ.
Mot de passe changé.
Pas de build dans l’historique.
Logs github qui indiquent la suppression du Oauth.
Tout a l’air bon, reste à faire les tokens pour configurer les builds.
Heureusement que j’ai creer un compte avec une adresse mail temporaire/pass bidon, tout ca juste pour download docker………………………….
Le crime suit l’usage : Docker intéresse les développeurs, alors il intéresse les pirates. Or à force de tout faire de la même manière, et de tout mettre au même endroit, on finit par construire un SPOF de sécurité.
Des token github leakés, si ce sont des comptes corporates, ca peut faire tres tres mal…
Vous utilisez ce service? Ca fonctionne bien ?
Ah bon ?
On parle bien de ça =>https://hub.docker.com/editions/community/docker-ce-desktop-windows ?
C’est à dire que depuis le passage de la RGPD les entreprises ont intérêt à communiquer très vite sinon ça peut leur coûter extrêmement cher ensuite…
Ca a bien fait chier les petites entreprises, mais faut reconnaître que de puis qu’elle est passée les grosses boîtes réagissent beaucoup plus vite aux compromissions.