Une cyberattaque expose les données de 190’000 utilisateurs de Docker Hub
Les données de 190’000 utilisateurs du dépôt officiel d'images de containers Docker ont été compromises dans un hack, exposant des noms, des mots de passe chiffrés et des jetons GitHub.
Docker Hub, le dépôt officiel d'images de containers Docker, a été piraté. Les données d’environ 190’000 utilisateurs ont été exposées, précise l’éditeur, qui explique que les pirates ont eu accès à une base de données de Docker Hub durant «une brève période».
Le hack concerne les noms d'utilisateurs et les mots de passe chiffrés, ainsi que les jetons GitHub et Bitbucket permettant les «autobuilds» sur Docker Hub. Tous ces jetons ont été révoqués par l’éditeur, stoppant tout accès non autorisé. Pour se prémunir de tout risque, il est toutefois nécessaire de relier à nouveau ces référentiels pour que les serveurs d'empaquetage automatique fonctionnent correctement. Docker demande en outre aux utilisateurs de changer leur mot de passe sur Docker Hub et sur d’autres comptes qui partageraient ce mot de passe.
Les images officielles Docker ne sont pas affectées, précise l’éditeur spécialisé dans les containers. Microsoft a également déclaré de son côté que ses images officielles hébergées sur Docker Hub n'ont pas été compromises. La firme de Redmond saisit l’occasion pour rappeler qu’il n’est pas conseillé de se baser sur des images de dépôts publics pour les charges de travail en production. «Quel que soit le cloud que vous utilisez, ou si vous travaillez en mode on-premise, l'importation d'images de production dans un registre privé est une pratique exemplaire qui vous permet de contrôler l'authentification, la disponibilité, la fiabilité et la performance des pulls d’images», souligne Microsoft.
