事件回顧4月25日，Docker Hub發(fā)現(xiàn)一個數(shù)據(jù)庫遭遇未經(jīng)授權(quán)訪問（官方原話是 unauthorized access），發(fā)現(xiàn)問題后他們立即采取干預(yù)措施來確保網(wǎng)站安全。

官方表示在短暫的數(shù)據(jù)庫未經(jīng)授權(quán)訪問期間，大約 19萬個賬號的敏感數(shù)據(jù)已被泄露（大約是總用戶數(shù)的 5%），這些數(shù)據(jù)包括部分用戶的用戶名、哈希密碼，以及用于自動構(gòu)建 Docker 鏡像的 GitHub 和 Bitbucket Token。

解決方案Docker 發(fā)現(xiàn)問題后立即向用戶告知了這一消息，并通知用戶重置密碼（包括使用其他使用相同用戶名和密碼的平臺）。

此外，對于使用了自動構(gòu)建服務(wù)并可能受影響的用戶，Docker 已撤銷他們的 GitHub token 和訪問密鑰，并提醒他們重新連接到存儲庫，然后檢查安全和登錄日志以查看是否發(fā)生了任何異常操作，例如是否存在通過未知的 IP 地址進行任何未經(jīng)授權(quán)的訪問。

最新回應(yīng)今天，Docker Hub 在其官網(wǎng)正式回應(yīng)了這一事件，表示泄露的數(shù)據(jù)來自用戶的非財務(wù)性數(shù)據(jù)子集（a subset of non-financial user data）目前正在加強整體安全流程和審核安全策略，除此之外還增加了額外的監(jiān)測工具。

最后對用戶的常見問題進行了解答，摘錄部分如下：問：這次事件是否影響到 Docker 官方鏡像？沒有官方鏡像遭受入侵，針對官方鏡像我們有提供額外的安全措施，包括git commit 上的GPG 簽名和Notary簽名，以此來確保每個鏡像的完整性。

問：如何判斷是否受到這次事件的影響？如果收到了 Docker 發(fā)送的關(guān)于本次事件的電子郵件，這說明可能會受到影響。

如果發(fā)現(xiàn)從GitHub 或 Bitbucket 到 Docker Hub 的連接已經(jīng)中斷，說明也可能遭受影響。

如果收到重置密碼的鏈接，這說明帳號的哈希密碼可能已經(jīng)被泄露。

對于存在泄露風(fēng)險的密碼，我們已將其作廢，并向用戶發(fā)送密碼重置鏈接來作為預(yù)防措施。

問：需要做什么？對于所有 Docker Hub 用戶，不需要執(zhí)行任何操作來確保安全性。

因為我們已將密碼重置鏈接發(fā)送給可能泄露哈希密碼的全部用戶。

對于曾使用過自動構(gòu)建服務(wù)的用戶，需要重新從GitHub 或 Bitbucket 連接到 Docker Hub。

問：是否需要在 Docker Hub 上重置密碼？不需要。

對于已泄露的哈希密碼，我們已將其廢棄，并通過電子郵件向發(fā)送了密碼重置鏈接。

如果沒有收到密碼重置鏈接，可訪問此處以重置密碼（https://id.docker.com/reset-password/?service=43f17c5f-9ba4-4f13-853d-9d0074e349a7）。

問：為什么未收到通知就刪除了我的 GitHub Token？為了保護用戶的數(shù)據(jù)安全，我們采取了盡快撤銷 Token 的措施，同時努力采取其他措施來保護網(wǎng)站的安全。

這些工作完成后，我們才向可能受影響的用戶發(fā)去通知。

問：現(xiàn)在將 Docker Hub 倉庫重新連接到 GitHub 倉庫是否會面臨風(fēng)險？不會。

重新連接會創(chuàng)建一個新的只讀部署密鑰（read-only deploy key）。

問：目前無法登錄 Docker Hub，是因為帳號被攻擊了嗎？我們已向可能泄露了哈希密碼的用戶發(fā)送了密碼重置鏈接，并作廢了這些密碼。

請檢查電子郵件箱是否收到密碼重置鏈接。

如果有任何疑慮，請聯(lián)系[email protected]問：從未使用過 Docker Hub 自動構(gòu)建功能，為什么也收到了電子郵件？可能你曾經(jīng)將GitHub 或 Bitbucket 連接到 Docker Hub，或者是哈希密碼已經(jīng)泄露。

若是前者，我們已取消連接；若是后者，我們已將密碼廢棄并發(fā)送了密碼重置鏈接到郵箱。