상세 컨텐츠

본문 제목

Docker Hub 데이터베이스 해킹 당해, 19만 명 사용자 데이터 노출

국내외 보안동향

by 알약(Alyac) 2019. 4. 29. 08:46

본문

Docker Hub Database Hack Exposes Sensitive Data of 190K Users


지난 26일 해커가 약 19만 명의 사용자들의 중요한 정보를 담고 있는 Docker Hub 데이터베이스 접근한 정황이 확인되었습니다.


노출된 정보에는 일부 사용자 이름과 해시된 암호뿐만 아니라 GitHub 및 Bitbucket 저장소에 대한 토큰도 포함되어있습니다.


늦은 금요일 밤(4/26) 발송된 보안 공지에 따르면, 도커 측은 2019년 4월 25일 도커 허브 데이터베이스에 대한 무단 접근에 대해 인지했습니다.


조사 결과, 해당 데이터베이스에는 약 19만 명의 사용자 정보가 포함되어 있는 것으로 확인되었습니다. 


이 정보에는 Docker 오토빌드(Autobuild)에 사용되는 GitHub 및 Bitbucket 저장소(Repository)에 대한 액세스 토큰과 일부 사용자 이름과 암호가 포함되어 있었습니다.


<이미지 출처: https://twitter.com/david_obrien/status/1121959047677087744>


Docker Hub에 저장된 GitHub와 Bitbucket 액세스 토큰은 개발자가 프로젝트의 코드를 수정하여 Docker Hub에 이미지를 자동으로 작성하거나 자동 제작할 수 있도록 해주는 기능입니다. 


그러나 제3자가 이러한 토큰에 대한 액세스 권한을 얻는 경우, 토큰에 저장된 사용 권한에 따라 개인 저장소 코드에 대한 액세스를 허용하고 이를 수정할 수 있습니다.


또한, 해당 토큰이 코드 수정에 잘못 사용되고 손상된 이미지가 배포된다면, 도커 허브 이미지가 서버 구성과 어플리케이션에 활용되는 것을 감안할 때, 심각한 공급망 공격(Supply-Chain Attacks)으로 이어질 수 있습니다.


Docker는 노출된 토큰과 액세스 키를 이미 모두 폐기했다고 진술했습니다.


Docker Hub 오토빌드를 사용한 개발자들은 본인의 프로젝트 저장소에 무단 액세스 기록 여부를 확인하는 것이 필요합니다.


금요일 밤늦게 해당 보안 공지가 발표되어, 개발자들은 본인들의 프로젝트 저장소에 문제가 없는지 코드 평가를 하기 위해 많은 시간이 소요되었을 것으로 추정됩니다.


한 개발자가 이메일의 전체 내용에 관심이 있는 사람들을 위해 해당 보안 공지에 대한 통지문을 게재했는데, 이메일 내용은 아래와 같습니다.


[보안 공지 이메일 영문 전문]

On Thursday, April 25th, 2019, we discovered unauthorized access to a single Hub database storing a subset of non-financial user data. Upon discovery, we acted quickly to intervene and secure the site.


We want to update you on what we've learned from our ongoing investigation, including which Hub accounts are impacted, and what actions users should take.


Here is what we’ve learned:


During a brief period of unauthorized access to a Docker Hub database, sensitive data from approximately 190,000 accounts may have been exposed (less than 5% of Hub users). Data includes usernames and hashed passwords for a small percentage of these users, as well as Github and Bitbucket tokens for Docker autobuilds.


Actions to Take:


- We are asking users to change their password on Docker Hub and any other accounts that shared this password.


- For users with autobuilds that may have been impacted, we have revoked GitHub tokens and access keys, and ask that you reconnect to your repositories and check security logs to see if any unexpected actions have taken place.


- You may view security actions on your GitHub or BitBucket accounts to see if any unexpected access has occurred over the past 24 hours -see https://help.github.com/en/articles/reviewing-your-security-log and https://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where


- This may affect your ongoing builds from our Automated build service. You may need to unlink and then relink your Github and Bitbucket source provider as described in https://docs.docker.com/docker-hub/builds/link-source/


We are enhancing our overall security processes and reviewing our policies. Additional monitoring tools are now in place.


Our investigation is still ongoing, and we will share more information as it becomes available.


Thank you,


Kent Lamb Director of Docker Support info@docker.com


[이메일 보안 공지 해석]

2019년 4월 25일 목요일, 비금융 사용자 데이터의 하위 집합을 저장하는 단일 허브 데이터베이스에 대한 무단 액세스를 발견했습니다. 해당 기록을 발견하자마자, 우리는 사이트를 안전하게 보호하기 위해 재빨리 조치를 취했습니다.


어떤 허브 계정이 영향을 받았는지, 그리고 사용자가 취해야 할 조치를 포함하여, 진행 중인 조사를 통해 나온 내용을 업데이트하고자 합니다.


우리가 조사한 내용은 다음과 같습니다.


짧은 기간 동안 Docker Hub 데이터베이스에 대한 무단 접근으로, 약 19만 개의 계정의 중요한 데이터가 노출되었을 수 있습니다(Hub 사용자의 5% 미만). 5% 미만의 사용자들의 중요 데이터는 사용자 이름과 해시된 암호, 도커 오토빌드를 위한 Gitub 및 Bitbucket 토큰을 포함합니다.


사용자들이 수행할 작업은 아래와 같습니다.


- Docker Hub와 해당 비밀번호를 공유한 다른 모든 계정의 비밀번호를 변경해 주십시오.


- 오토빌드를 사용한 사용자의 경우, GitHub 토큰 및 액세스 키를 해지하고, 저장소에 다시 연결하여 보안 로그를 확인하고 예기치 않은 작업이 수행되었는지 확인하십시오.


- GitHub 또는 BitBucket 계정에 대한 보안 조치를 확인하여 지난 24시간 동안 예상치 못한 액세스가 발생했는지 확인할 수 있습니다.


참조:

https://help.github.com/en/articles/reviewing-your-security-log 

https://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where


- 우리의 자동 빌드 서비스로 인해 사용자의 진행 중인 빌드에 영향을 미칠 수 있습니다.

아래 URL에 설명된 대로 Gitub 및 Bitbucket 소스 공급자의 연결을 해제한 후 다시 연결해야 할 수 있습니다.

https://docs.docker.com/docker-hub/builds/link-source/


당사의 조사는 여전히 진행 중이며, 업데이트되는 대로 더 많은 정보를 공유하겠습니다.


감사합니다.


Docker Support, Kent Lamb 이사 info@docker.com




출처:

https://www.bleepingcomputer.com/news/security/docker-hub-database-hack-exposes-sensitive-data-of-190k-users/

https://motherboard.vice.com/en_us/article/7xgbzb/docker-hub-breach-hackers-stole-private-keys-tokens

관련글 더보기

댓글 영역