Халатность при работе с Docker Hub грозит хакерскими атаками на цепочки поставок сотен компаний
Токены GitHub и PayPal среди тысяч секретов, обнаруженных в открытых контейнерах.
Платформа Docker Hub, где веб-разработчики совместно работают над кодом веб-приложений, в очередной раз оказалась уязвима — тысячи секретов были обнаружены экспертами в открытом доступе. Среди них API-ключи, токены доступа, URL-адреса внутренних ресурсов, учётные данные и другая конфиденциальная информация.
Согласно недавнему исследованию Cybernews, специалисты извлекли ошеломляющие 191 529 секретов, проанализировав 5 493 контейнеров Docker. Данные контейнеры были загружены пользователями платформы более 132 миллиардов раз.
«Оставляя любые секреты открытыми при загрузке образов онлайн, возникает высокий риск их обнаружения злоумышленниками», — предупредил исследователь Винцентас Баубонис.
Обнаруженные секреты специалисты ранжировали в ТОП-20, среди которых в первой тройке токены Github (51 038), Datadog (26 579) и URI (14 638). Из других популярных сервисов, которые подвержены взлому, также стоит отметить PayPal, UnifyID и Polygon.
«Даже если учётные данные и токены больше не действительны, оставлять их в публичном доступе — плохая практика. Это демонстрирует небрежное отношение к безопасности», — подчеркнул Баубонис.
Большинство найденных секретов связано с повторным использованием пакетов, в которых содержится конфиденциальная информация. Кроме того, некоторые образы контейнеров содержат жёстко запрограммированные секреты, предусмотренные дизайном контейнерных приложений, и не раскрывают никакой конфиденциальной информации. Однако важность полученных результатов не следует недооценивать.
Требуется индивидуальное изучение каждого образа и содержащихся в нём секретов, чтобы определить, безопасна ли вообще эта практика. Однако Баубонис уверен, что многих из раскрытых секретов там быть не должно, что создаёт значительные риски для безопасности.
Разработчикам, обнаружившим, что конфиденциальная информация содержится в образах Docker Hub, не следует ждать, пока хакеры будут рыться в них, пытаясь получить несанкционированный доступ или конфиденциальные данные. Лучшим решением будет просто сбросить открытые секреты и зашифровать конфиденциальные данные во всех используемых образах.
«Применяйте комплексные протоколы очистки данных для образов Docker Hub, прежде чем публиковать их. И разработчики, и Docker Hub могут использовать сложные инструменты обнаружения для идентификации и удаления общедоступных секретов», — подытожил Баубонис.
Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!