事件回顧4月25日，Docker Hub發(fā)現(xiàn)一個(gè)數(shù)據(jù)庫(kù)遭遇未經(jīng)授權(quán)訪問(wèn)（官方原話是 unauthorized access），發(fā)現(xiàn)問(wèn)題后他們立即采取干預(yù)措施來(lái)確保網(wǎng)站安全。

官方表示在短暫的數(shù)據(jù)庫(kù)未經(jīng)授權(quán)訪問(wèn)期間，大約 19萬(wàn)個(gè)賬號(hào)的敏感數(shù)據(jù)已被泄露（大約是總用戶(hù)數(shù)的 5%），這些數(shù)據(jù)包括部分用戶(hù)的用戶(hù)名、哈希密碼，以及用于自動(dòng)構(gòu)建 Docker 鏡像的 GitHub 和 Bitbucket Token。

解決方案Docker 發(fā)現(xiàn)問(wèn)題后立即向用戶(hù)告知了這一消息，并通知用戶(hù)重置密碼（包括使用其他使用相同用戶(hù)名和密碼的平臺(tái)）。

此外，對(duì)于使用了自動(dòng)構(gòu)建服務(wù)并可能受影響的用戶(hù)，Docker 已撤銷(xiāo)他們的 GitHub token 和訪問(wèn)密鑰，并提醒他們重新連接到存儲(chǔ)庫(kù)，然后檢查安全和登錄日志以查看是否發(fā)生了任何異常操作，例如是否存在通過(guò)未知的 IP 地址進(jìn)行任何未經(jīng)授權(quán)的訪問(wèn)。

最新回應(yīng)今天，Docker Hub 在其官網(wǎng)正式回應(yīng)了這一事件，表示泄露的數(shù)據(jù)來(lái)自用戶(hù)的非財(cái)務(wù)性數(shù)據(jù)子集（a subset of non-financial user data）目前正在加強(qiáng)整體安全流程和審核安全策略，除此之外還增加了額外的監(jiān)測(cè)工具。

最后對(duì)用戶(hù)的常見(jiàn)問(wèn)題進(jìn)行了解答，摘錄部分如下：?jiǎn)枺哼@次事件是否影響到 Docker 官方鏡像？沒(méi)有官方鏡像遭受入侵，針對(duì)官方鏡像我們有提供額外的安全措施，包括git commit 上的GPG 簽名和Notary簽名，以此來(lái)確保每個(gè)鏡像的完整性。

問(wèn)：如何判斷是否受到這次事件的影響？如果收到了 Docker 發(fā)送的關(guān)于本次事件的電子郵件，這說(shuō)明可能會(huì)受到影響。

如果發(fā)現(xiàn)從GitHub 或 Bitbucket 到 Docker Hub 的連接已經(jīng)中斷，說(shuō)明也可能遭受影響。

如果收到重置密碼的鏈接，這說(shuō)明帳號(hào)的哈希密碼可能已經(jīng)被泄露。

對(duì)于存在泄露風(fēng)險(xiǎn)的密碼，我們已將其作廢，并向用戶(hù)發(fā)送密碼重置鏈接來(lái)作為預(yù)防措施。

問(wèn)：需要做什么？對(duì)于所有 Docker Hub 用戶(hù)，不需要執(zhí)行任何操作來(lái)確保安全性。

因?yàn)槲覀円褜⒚艽a重置鏈接發(fā)送給可能泄露哈希密碼的全部用戶(hù)。

對(duì)于曾使用過(guò)自動(dòng)構(gòu)建服務(wù)的用戶(hù)，需要重新從GitHub 或 Bitbucket 連接到 Docker Hub。

問(wèn)：是否需要在 Docker Hub 上重置密碼？不需要。

對(duì)于已泄露的哈希密碼，我們已將其廢棄，并通過(guò)電子郵件向發(fā)送了密碼重置鏈接。

如果沒(méi)有收到密碼重置鏈接，可訪問(wèn)此處以重置密碼（https://id.docker.com/reset-password/?service=43f17c5f-9ba4-4f13-853d-9d0074e349a7）。

問(wèn)：為什么未收到通知就刪除了我的 GitHub Token？為了保護(hù)用戶(hù)的數(shù)據(jù)安全，我們采取了盡快撤銷(xiāo) Token 的措施，同時(shí)努力采取其他措施來(lái)保護(hù)網(wǎng)站的安全。

這些工作完成后，我們才向可能受影響的用戶(hù)發(fā)去通知。

問(wèn)：現(xiàn)在將 Docker Hub 倉(cāng)庫(kù)重新連接到 GitHub 倉(cāng)庫(kù)是否會(huì)面臨風(fēng)險(xiǎn)？不會(huì)。

重新連接會(huì)創(chuàng)建一個(gè)新的只讀部署密鑰（read-only deploy key）。

問(wèn)：目前無(wú)法登錄 Docker Hub，是因?yàn)閹ぬ?hào)被攻擊了嗎？我們已向可能泄露了哈希密碼的用戶(hù)發(fā)送了密碼重置鏈接，并作廢了這些密碼。

請(qǐng)檢查電子郵件箱是否收到密碼重置鏈接。

如果有任何疑慮，請(qǐng)聯(lián)系info@docker.com問(wèn)：從未使用過(guò) Docker Hub 自動(dòng)構(gòu)建功能，為什么也收到了電子郵件？可能你曾經(jīng)將GitHub 或 Bitbucket 連接到 Docker Hub，或者是哈希密碼已經(jīng)泄露。

若是前者，我們已取消連接；若是后者，我們已將密碼廢棄并發(fā)送了密碼重置鏈接到郵箱。