Abo
  • IT-Karriere:

Softwareentwicklung: Docker-Hub-Hack kompromittiert Daten von 190.000 Nutzern

Viele Projekte und Repositories sind über Docker Hub mit Seiten wie Github und Bitbucket verbunden. Unbekannte Angreifer konnten darauf unbefugt zugreifen. Das Docker-Team hat die Tokens der Betroffenen gesperrt. Sicher sind die Daten dadurch aufgrund der unklaren Lage aber noch nicht.

Artikel veröffentlicht am ,
In die Datenbank des Docker Hub wurde eingebrochen.
In die Datenbank des Docker Hub wurde eingebrochen. (Bild: Pixabay.com/CC0 1.0)

Ein Angreifer konnte unbefugt auf die Datenbank des Docker Hub zugreifen. Dort konnte die Person sicherheitsrelevante Informationen von 190.000 Nutzern, etwa fünf Prozent der Gesamtnutzerzahl, einsehen und stehlen. Dazu gehörten auch Docker-Autobuild-Tokens für Github und Bitbucket, die für den Zugriff auf dort hinterlegte Softwareprojekte, Quelltexte und Repositories benötigt werden. Der Angriff habe am 25. April 2019 stattgefunden, schreibt das Docker-Team in einer E-Mail. Alle betroffenen Nutzer seien bereits informiert worden.

Stellenmarkt
  1. VALEO GmbH, Bietigheim-Bissingen
  2. VS HEIBO Logistics GmbH, Verden (Aller)

Die Entwickler haben die kompromittierten Tokens zudem gesperrt, so dass kein Zugriff damit mehr möglich sein sollte. Das Entwicklerteam rät Nutzern zusätzlich dazu, das Passwort für ihre Accounts zu ändern, da diese in einigen Fällen ebenfalls kompromittiert worden seien. Einige Nutzer berichten aber, dass die Funktion "Passwort zurücksetzen" auf der Seite nicht zuverlässig sei. "Ihre Hub-Webseite ist ziemlich schlecht. Ich habe versucht, mein Passwort zurückzusetzen, allerdings hat die Webseite nur einen Fehler zurückgegeben", schreibt ein Nutzer auf der News-Seite Hacker News.

Art des Angriffs bisher unklar

Andere Nutzer haben den Zugriff auf ihre Daten vorsichtshalber komplett entzogen, bis die Lage etwas klarer geworden ist. Noch ist nämlich nicht genau bekannt, wie die Angreifer auf die Datenbank zugreifen konnten.

Es könnte beispielsweise auch sein, dass die Tokens Schreibzugriff gehabt haben. Das hätte die Angreifer dazu befähigt, Schadcode in Projekte einzubauen. "Man hat wirklich keine Ahnung, was man sich direkt von Docker Hub holt", sagt ein Nutzer. "Dass Docker Hub gehackt wird, war nur eine Frage der Zeit", sagt ein anderer Kommentator. Einige vermuten, dass eine Klärung des Falls womöglich erst in ein paar Tagen erfolgen wird.



Anzeige
Top-Angebote
  1. (u. a. Alien 40th Anniversary Steelbook, Ash vs Evil Dead Collector's edition, Predator 1 - 4 Box...
  2. ab 0,89€ (u. a. enthalten Distraint 2, Rusty Lake Paradise, Nex Machina, Shantae: Half-Genie Hero)
  3. (u. a. The Division 2 für 36,99€, Just Cause 4 für 17,99€, Kerbal Space Program für 7,99€)
  4. (u. a. Sandisk Plus 1-TB-SSD für 88,00€, WD Elements 4-TB-Festplatte extern für 79,00€)

ehlers 28. Apr 2019

Update: Laut https://success.docker.com/article/docker-hub-user-notification werden die...

serra.avatar 28. Apr 2019

naja die Alternativen gibt es ja sowohl beim "Cloud" wie auch beim Smart Home ... selber...

Tuxgamer12 28. Apr 2019

Github ist offensichtlich kein "Programm", das du installierst. Sondern eine...


Folgen Sie uns
       


ANC-Kopfhörer im Lautstärkevergleich

Wir haben Microsofts Surface Headphones und die Jabra Elite 85h bei der ANC-Leistung verglichen. Für einen besseren Vergleich zeigen wir auch die besonders leistungsfähigen ANC-Kopfhörer von Sony und Bose, die WH-1000XM3 und die Quiet Comfort 35 II.

ANC-Kopfhörer im Lautstärkevergleich Video aufrufen
In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

    •  /