De officiële container-repository van Docker meldt een datalek bij vertrouwelijke gebruikersinformatie. Getroffenen moeten hun wachtwoord veranderen.
Onbekenden hebben toegang gekregen tot een interne database van de Docker-Hub-website met vertrouwelijke data, Het gaat daarbij om ongeveer 190.000 accounts, wat volgens de dienst minder dan 5 procent van alle Hub-gebruikers is.
Van een deel van die accounts lijken onder meer de username en het gehashte wachtwoord openbaar geweest te zijn, met daarnaast GitHub- en Bitbucket-tokens voor Docker Autobuilds, meldde Ken Lamb van het Docker-Hub-team in een mail aan de gebruikers van de dienst.
Men heeft de niet toegestane toegang ontdekt op 25 april bemerkt, en toen meteen gereageerd. Het onderzoek naar het voorval duurt nog, het bedrijf verklaarde wel dat de onbekenden alleen toegang hadden tot een enkele database met accountgegevens zonder financiële gegevens en dat die toegang ook maar voor ‘korte tijd’ was.
Docker roept de getroffen gebruikers op om hun wachtwoord voor Docker Hub en alle andere accounts waarvoor dat wachtwoord gebruikt wordt te veranderen. Bovendien heeft men de GitHub-tokens en toegangssleutels van de getroffen gebruikers met autobuild teruggetrokken. Die gebruikers moeten hun repository’s opnieuw verbinden en hun logs nakijken op ongewenste activiteiten.
Docker heeft eind 2018 de officiële repository voor zijn gelijknamige containerbeheersoftware als centrale plek voor container-images uitgebouwd en de Store en Cloud in Docker Hub samengevoegd.