Menu
Forums
New posts
Search forums
What's new
New posts
New resources
Resources
Latest reviews
Search resources
Members
Current visitors
Log in
Register
What's new
Search
Search
Search titles only
By:
New posts
Search forums
Menu
Log in
Register
Forums
ГАРАНТ-СЕРВИС
НОВОСТИ СМИ
Халатность при работе с Docker Hub грозит хакерскими атаками на цепочки поставок сотен компаний
JavaScript is disabled. For a better experience, please enable JavaScript in your browser before proceeding.
Reply to thread
Message
<p>[QUOTE="Гарант-Сервис, post: 566864, member: 234698"]</p><p>Токены GitHub и PayPal среди тысяч секретов, обнаруженных в открытых контейнерах.</p><p></p><p>Платформа Docker Hub, где веб-разработчики совместно работают над кодом веб-приложений, в очередной раз оказалась уязвима — тысячи секретов были обнаружены экспертами в открытом доступе. Среди них API-ключи, токены доступа, URL-адреса внутренних ресурсов, учётные данные и другая конфиденциальная информация.</p><p></p><p>Согласно недавнему исследованию Cybernews, специалисты извлекли ошеломляющие 191 529 секретов, проанализировав 5 493 контейнеров Docker. Данные контейнеры были загружены пользователями платформы более 132 миллиардов раз.</p><p></p><p>«Оставляя любые секреты открытыми при загрузке образов онлайн, возникает высокий риск их обнаружения злоумышленниками», — предупредил исследователь Винцентас Баубонис.</p><p></p><p>Обнаруженные секреты специалисты ранжировали в ТОП-20, среди которых в первой тройке токены Github (51 038), Datadog (26 579) и URI (14 638). Из других популярных сервисов, которые подвержены взлому, также стоит отметить PayPal, UnifyID и Polygon.</p><p></p><p><img src="https://www.securitylab.ru/upload/medialibrary/f93/vp8xuqdccxgmbw5q66nikm72en6gwjjj.png" data-url="https://www.securitylab.ru/upload/medialibrary/f93/vp8xuqdccxgmbw5q66nikm72en6gwjjj.png" class="bbImage " style="" /></p><p></p><p>«Даже если учётные данные и токены больше не действительны, оставлять их в публичном доступе — плохая практика. Это демонстрирует небрежное отношение к безопасности», — подчеркнул Баубонис.</p><p></p><p>Большинство найденных секретов связано с повторным использованием пакетов, в которых содержится конфиденциальная информация. Кроме того, некоторые образы контейнеров содержат жёстко запрограммированные секреты, предусмотренные дизайном контейнерных приложений, и не раскрывают никакой конфиденциальной информации. Однако важность полученных результатов не следует недооценивать.</p><p></p><p>Требуется индивидуальное изучение каждого образа и содержащихся в нём секретов, чтобы определить, безопасна ли вообще эта практика. Однако Баубонис уверен, что многих из раскрытых секретов там быть не должно, что создаёт значительные риски для безопасности.</p><p></p><p>Разработчикам, обнаружившим, что конфиденциальная информация содержится в образах Docker Hub, не следует ждать, пока хакеры будут рыться в них, пытаясь получить несанкционированный доступ или конфиденциальные данные. Лучшим решением будет просто сбросить открытые секреты и зашифровать конфиденциальные данные во всех используемых образах.</p><p></p><p>«Применяйте комплексные протоколы очистки данных для образов Docker Hub, прежде чем публиковать их. И разработчики, и Docker Hub могут использовать сложные инструменты обнаружения для идентификации и удаления общедоступных секретов», — подытожил Баубонис.</p><p>[/QUOTE]</p>
[QUOTE="Гарант-Сервис, post: 566864, member: 234698"] Токены GitHub и PayPal среди тысяч секретов, обнаруженных в открытых контейнерах. Платформа Docker Hub, где веб-разработчики совместно работают над кодом веб-приложений, в очередной раз оказалась уязвима — тысячи секретов были обнаружены экспертами в открытом доступе. Среди них API-ключи, токены доступа, URL-адреса внутренних ресурсов, учётные данные и другая конфиденциальная информация. Согласно недавнему исследованию Cybernews, специалисты извлекли ошеломляющие 191 529 секретов, проанализировав 5 493 контейнеров Docker. Данные контейнеры были загружены пользователями платформы более 132 миллиардов раз. «Оставляя любые секреты открытыми при загрузке образов онлайн, возникает высокий риск их обнаружения злоумышленниками», — предупредил исследователь Винцентас Баубонис. Обнаруженные секреты специалисты ранжировали в ТОП-20, среди которых в первой тройке токены Github (51 038), Datadog (26 579) и URI (14 638). Из других популярных сервисов, которые подвержены взлому, также стоит отметить PayPal, UnifyID и Polygon. [IMG]https://www.securitylab.ru/upload/medialibrary/f93/vp8xuqdccxgmbw5q66nikm72en6gwjjj.png[/IMG] «Даже если учётные данные и токены больше не действительны, оставлять их в публичном доступе — плохая практика. Это демонстрирует небрежное отношение к безопасности», — подчеркнул Баубонис. Большинство найденных секретов связано с повторным использованием пакетов, в которых содержится конфиденциальная информация. Кроме того, некоторые образы контейнеров содержат жёстко запрограммированные секреты, предусмотренные дизайном контейнерных приложений, и не раскрывают никакой конфиденциальной информации. Однако важность полученных результатов не следует недооценивать. Требуется индивидуальное изучение каждого образа и содержащихся в нём секретов, чтобы определить, безопасна ли вообще эта практика. Однако Баубонис уверен, что многих из раскрытых секретов там быть не должно, что создаёт значительные риски для безопасности. Разработчикам, обнаружившим, что конфиденциальная информация содержится в образах Docker Hub, не следует ждать, пока хакеры будут рыться в них, пытаясь получить несанкционированный доступ или конфиденциальные данные. Лучшим решением будет просто сбросить открытые секреты и зашифровать конфиденциальные данные во всех используемых образах. «Применяйте комплексные протоколы очистки данных для образов Docker Hub, прежде чем публиковать их. И разработчики, и Docker Hub могут использовать сложные инструменты обнаружения для идентификации и удаления общедоступных секретов», — подытожил Баубонис. [/QUOTE]
Insert quotes…
Preview
Name
Verification
9+3
Post reply
Forums
ГАРАНТ-СЕРВИС
НОВОСТИ СМИ
Халатность при работе с Docker Hub грозит хакерскими атаками на цепочки поставок сотен компаний
Внимание:
супер скидка: получите вип статус за 490 рублей!
.
"
Получить PREMIUM
"
Attention:
Get VIP membership for 7$!
.
"
get PREMIUM
".
Top