事件回顧4月25日，Docker Hub發現一個數據庫遭遇未經授權訪問（官方原話是 unauthorized access），發現問題后他們立即采取干預措施來確保網站安全。

官方表示在短暫的數據庫未經授權訪問期間，大約 19萬個賬號的敏感數據已被泄露（大約是總用戶數的 5%），這些數據包括部分用戶的用戶名、哈希密碼，以及用于自動構建 Docker 鏡像的 GitHub 和 Bitbucket Token。

解決方案Docker 發現問題后立即向用戶告知了這一消息，并通知用戶重置密碼（包括使用其他使用相同用戶名和密碼的平臺）。

此外，對于使用了自動構建服務并可能受影響的用戶，Docker 已撤銷他們的 GitHub token 和訪問密鑰，并提醒他們重新連接到存儲庫，然后檢查安全和登錄日志以查看是否發生了任何異常操作，例如是否存在通過未知的 IP 地址進行任何未經授權的訪問。

最新回應今天，Docker Hub 在其官網正式回應了這一事件，表示泄露的數據來自用戶的非財務性數據子集（a subset of non-financial user data）目前正在加強整體安全流程和審核安全策略，除此之外還增加了額外的監測工具。

最后對用戶的常見問題進行了解答，摘錄部分如下：問：這次事件是否影響到 Docker 官方鏡像？沒有官方鏡像遭受入侵，針對官方鏡像我們有提供額外的安全措施，包括git commit 上的GPG 簽名和Notary簽名，以此來確保每個鏡像的完整性。

問：如何判斷是否受到這次事件的影響？如果收到了 Docker 發送的關于本次事件的電子郵件，這說明可能會受到影響。

如果發現從GitHub 或 Bitbucket 到 Docker Hub 的連接已經中斷，說明也可能遭受影響。

如果收到重置密碼的鏈接，這說明帳號的哈希密碼可能已經被泄露。

對于存在泄露風險的密碼，我們已將其作廢，并向用戶發送密碼重置鏈接來作為預防措施。

問：需要做什么？對于所有 Docker Hub 用戶，不需要執行任何操作來確保安全性。

因為我們已將密碼重置鏈接發送給可能泄露哈希密碼的全部用戶。

對于曾使用過自動構建服務的用戶，需要重新從GitHub 或 Bitbucket 連接到 Docker Hub。

問：是否需要在 Docker Hub 上重置密碼？不需要。

對于已泄露的哈希密碼，我們已將其廢棄，并通過電子郵件向發送了密碼重置鏈接。

如果沒有收到密碼重置鏈接，可訪問此處以重置密碼（https://id.docker.com/reset-password/?service=43f17c5f-9ba4-4f13-853d-9d0074e349a7）。

問：為什么未收到通知就刪除了我的 GitHub Token？為了保護用戶的數據安全，我們采取了盡快撤銷 Token 的措施，同時努力采取其他措施來保護網站的安全。

這些工作完成后，我們才向可能受影響的用戶發去通知。

問：現在將 Docker Hub 倉庫重新連接到 GitHub 倉庫是否會面臨風險？不會。

重新連接會創建一個新的只讀部署密鑰（read-only deploy key）。

問：目前無法登錄 Docker Hub，是因為帳號被攻擊了嗎？我們已向可能泄露了哈希密碼的用戶發送了密碼重置鏈接，并作廢了這些密碼。

請檢查電子郵件箱是否收到密碼重置鏈接。

如果有任何疑慮，請聯系[email protected]問：從未使用過 Docker Hub 自動構建功能，為什么也收到了電子郵件？可能你曾經將GitHub 或 Bitbucket 連接到 Docker Hub，或者是哈希密碼已經泄露。

若是前者，我們已取消連接；若是后者，我們已將密碼廢棄并發送了密碼重置鏈接到郵箱。