Abo
  • IT-Karriere:

Softwareentwicklung: Docker-Hub-Hack kompromittiert Daten von 190.000 Nutzern

Viele Projekte und Repositories sind über Docker Hub mit Seiten wie Github und Bitbucket verbunden. Unbekannte Angreifer konnten darauf unbefugt zugreifen. Das Docker-Team hat die Tokens der Betroffenen gesperrt. Sicher sind die Daten dadurch aufgrund der unklaren Lage aber noch nicht.

Artikel veröffentlicht am ,
In die Datenbank des Docker Hub wurde eingebrochen.
In die Datenbank des Docker Hub wurde eingebrochen. (Bild: Pixabay.com/CC0 1.0)

Ein Angreifer konnte unbefugt auf die Datenbank des Docker Hub zugreifen. Dort konnte die Person sicherheitsrelevante Informationen von 190.000 Nutzern, etwa fünf Prozent der Gesamtnutzerzahl, einsehen und stehlen. Dazu gehörten auch Docker-Autobuild-Tokens für Github und Bitbucket, die für den Zugriff auf dort hinterlegte Softwareprojekte, Quelltexte und Repositories benötigt werden. Der Angriff habe am 25. April 2019 stattgefunden, schreibt das Docker-Team in einer E-Mail. Alle betroffenen Nutzer seien bereits informiert worden.

Stellenmarkt
  1. Städtische Wohnungsgesellschaft Pirna mbH, Pirna
  2. SBS seebauer business solutions GmbH, Weyarn

Die Entwickler haben die kompromittierten Tokens zudem gesperrt, so dass kein Zugriff damit mehr möglich sein sollte. Das Entwicklerteam rät Nutzern zusätzlich dazu, das Passwort für ihre Accounts zu ändern, da diese in einigen Fällen ebenfalls kompromittiert worden seien. Einige Nutzer berichten aber, dass die Funktion "Passwort zurücksetzen" auf der Seite nicht zuverlässig sei. "Ihre Hub-Webseite ist ziemlich schlecht. Ich habe versucht, mein Passwort zurückzusetzen, allerdings hat die Webseite nur einen Fehler zurückgegeben", schreibt ein Nutzer auf der News-Seite Hacker News.

Art des Angriffs bisher unklar

Andere Nutzer haben den Zugriff auf ihre Daten vorsichtshalber komplett entzogen, bis die Lage etwas klarer geworden ist. Noch ist nämlich nicht genau bekannt, wie die Angreifer auf die Datenbank zugreifen konnten.

Es könnte beispielsweise auch sein, dass die Tokens Schreibzugriff gehabt haben. Das hätte die Angreifer dazu befähigt, Schadcode in Projekte einzubauen. "Man hat wirklich keine Ahnung, was man sich direkt von Docker Hub holt", sagt ein Nutzer. "Dass Docker Hub gehackt wird, war nur eine Frage der Zeit", sagt ein anderer Kommentator. Einige vermuten, dass eine Klärung des Falls womöglich erst in ein paar Tagen erfolgen wird.



Anzeige
Hardware-Angebote
  1. 177,90€ + Versand (Bestpreis!)
  2. 399€ (Wert der Spiele rund 212€)
  3. (u. a. Ryzen 5-2600X für 184,90€ oder Sapphire Radeon RX 570 Pulse für 149,00€)

ehlers 28. Apr 2019 / Themenstart

Update: Laut https://success.docker.com/article/docker-hub-user-notification werden die...

serra.avatar 28. Apr 2019 / Themenstart

naja die Alternativen gibt es ja sowohl beim "Cloud" wie auch beim Smart Home ... selber...

Tuxgamer12 28. Apr 2019 / Themenstart

Github ist offensichtlich kein "Programm", das du installierst. Sondern eine...

Kommentieren


Folgen Sie uns
       


Demo gegen Uploadfilter in Berlin - Bericht

Impressionen von der Demonstration am 23. März 2019 gegen die Uploadfilter in Berlin.

Demo gegen Uploadfilter in Berlin - Bericht Video aufrufen
Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    Sicherheitslücken: Zombieload in Intel-Prozessoren
    Sicherheitslücken
    Zombieload in Intel-Prozessoren

    Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
    Ein Bericht von Marc Sauter und Sebastian Grüner

    1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
    2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
    3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

    Mordhau angespielt: Die mit dem Schwertknauf zuschlagen
    Mordhau angespielt
    Die mit dem Schwertknauf zuschlagen

    Ein herausfordernd-komplexes Kampfsystem, trotzdem schnelle Action mit Anleihen bei Chivalry und For Honor: Das vom Entwicklerstudio Triternion produzierte Mordhau schickt Spieler in mittelalterlich anmutende Multiplayergefechte mit klirrenden Schwertern und hohem Spaßfaktor.
    Von Peter Steinlechner

    1. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
    2. Bright Memory angespielt Brachialer PC-Shooter aus China

      •  /