Brisantes Datenleck auf Docker Hub: Über 10.000 Docker-Images leaken Zugangsdaten
Sicherheitsforscher von Flare haben auf Docker Hub bereitgestellte Docker-Images auf enthaltene Anmeldeinformationen durchsucht und sind fündig geworden. Laut eigenem Blogbeitrag(öffnet im neuen Fenster) fanden die Forscher bei einem einmonatigen Suchlauf in mehr als 10.000 Images unzählige Geheimnisse von über 100 verschiedenen Organisationen – darunter ein Fortune-500-Unternehmen und eine große staatliche Bank.
Flare beschränkte sich bei den Scans auf innerhalb des Monats November 2025 auf Docker Hub hochgeladene Images. 10.456 erfasste Docker-Images enthielten den Angaben zufolge mindestens einen Datensatz mit schützenswerten Schlüsseln, Token oder anderen Anmeldedaten.
Geleakt wurden diese Daten oft von Mitarbeitern oder Auftragnehmern betroffener Unternehmen. Teilweise sollen die Uploads auch über private Docker-Hub-Konten erfolgt sein. Flare konnte die Anmeldedaten insgesamt 101 verschiedenen Organisationen zuordnen, davon 28 aus dem Bereich Softwareentwicklung, 20 aus dem Industriesektor, 15 aus dem KI-Bereich und elf aus der Finanzbranche.
Viele API-Keys mit KI-Bezug
42 Prozent aller betroffenen Docker-Images enthielten den Angaben nach mehr als fünf Anmeldedatensätze. "Ein einziger dieser Container könnte eine gesamte Cloudumgebung, CI/CD-Pipeline und Datenbank entsperren" , warnen die Forscher vor diesem Hintergrund. Bei knapp 33 Prozent der Images war nur ein Geheimnis enthalten, bei den verbleibenden 25 Prozent waren es zwischen zwei und fünf.
Bei den meisten gefundenen Datensätzen handelte es sich um API-Keys für verschiedene Anwendungen, allen voran für KI-Tools. Flare benennt diesbezüglich konkret Grok, Gemini und Anthropic. Viele Anmeldeinformationen ermöglichten aber auch Zugriffe auf Cloudumgebungen (etwa AWS, Azure oder GCP), Datenbanken und Code-Plattformen wie Github, NPM oder Bitbucket.
Handlungsempfehlungen für Entwickler
Die Flare-Forscher geben in ihrem Bericht einige Empfehlungen zum Umgang mit derart vertraulichen Daten. Demnach sollte grundsätzlich vermieden werden, diese in irgendwelchen Konfigurationsdateien in Docker-Containern zu speichern. "Wenn ein Container-Image ein Geheimnis enthält, ist es bereits kompromittiert. Ein Container sollte Geheimnisse nur zur Laufzeit extern referenzieren" , erklären die Forscher weiter.
Auch raten die Sicherheitsforscher von der Verwendung langlebiger Token ab und empfehlen, Zugangsdaten nur in dafür vorgesehenen Tresoren aufzubewahren und im Rahmen von Build-, Debugging- und CI/CD-Pipelines automatisiert auf mögliche Leaks zu scannen, um im Falle eines Fehlers schnell reagieren und betroffene Anmeldedaten rotieren zu können.
Auch Forscher von der RWTH Aachen hatten vor zwei Jahren im Rahmen einer Studie schon mal mehr als 300.000 Images auf Docker Hub durchsucht und dabei Zehntausende private Schlüssel entdeckt.