Softwareentwicklung: Docker-Hub-Hack kompromittiert Daten von 190.000 Nutzern
Viele Projekte und Repositories sind über Docker Hub mit Seiten wie Github und Bitbucket verbunden. Unbekannte Angreifer konnten darauf unbefugt zugreifen. Das Docker-Team hat die Tokens der Betroffenen gesperrt. Sicher sind die Daten dadurch aufgrund der unklaren Lage aber noch nicht.

Ein Angreifer konnte unbefugt auf die Datenbank des Docker Hub zugreifen. Dort konnte die Person sicherheitsrelevante Informationen von 190.000 Nutzern, etwa fünf Prozent der Gesamtnutzerzahl, einsehen und stehlen. Dazu gehörten auch Docker-Autobuild-Tokens für Github und Bitbucket, die für den Zugriff auf dort hinterlegte Softwareprojekte, Quelltexte und Repositories benötigt werden. Der Angriff habe am 25. April 2019 stattgefunden, schreibt das Docker-Team in einer E-Mail. Alle betroffenen Nutzer seien bereits informiert worden.
Die Entwickler haben die kompromittierten Tokens zudem gesperrt, so dass kein Zugriff damit mehr möglich sein sollte. Das Entwicklerteam rät Nutzern zusätzlich dazu, das Passwort für ihre Accounts zu ändern, da diese in einigen Fällen ebenfalls kompromittiert worden seien. Einige Nutzer berichten aber, dass die Funktion "Passwort zurücksetzen" auf der Seite nicht zuverlässig sei. "Ihre Hub-Webseite ist ziemlich schlecht. Ich habe versucht, mein Passwort zurückzusetzen, allerdings hat die Webseite nur einen Fehler zurückgegeben", schreibt ein Nutzer auf der News-Seite Hacker News.
Art des Angriffs bisher unklar
Andere Nutzer haben den Zugriff auf ihre Daten vorsichtshalber komplett entzogen, bis die Lage etwas klarer geworden ist. Noch ist nämlich nicht genau bekannt, wie die Angreifer auf die Datenbank zugreifen konnten.
Es könnte beispielsweise auch sein, dass die Tokens Schreibzugriff gehabt haben. Das hätte die Angreifer dazu befähigt, Schadcode in Projekte einzubauen. "Man hat wirklich keine Ahnung, was man sich direkt von Docker Hub holt", sagt ein Nutzer. "Dass Docker Hub gehackt wird, war nur eine Frage der Zeit", sagt ein anderer Kommentator. Einige vermuten, dass eine Klärung des Falls womöglich erst in ein paar Tagen erfolgen wird.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Update: Laut https://success.docker.com/article/docker-hub-user-notification werden die...
naja die Alternativen gibt es ja sowohl beim "Cloud" wie auch beim Smart Home ... selber...
Github ist offensichtlich kein "Programm", das du installierst. Sondern eine...