Docker Hubからハッシュ化パスワードとGitHubトークンが漏洩

tl;dr

Docker Hub のデータベースがクラックされ以下が流出した可能性がある
- ユーザー ID, ハッシュ化されたパスワード, GitHub/Bitbucket のトークン
被害を受けたのは約 190,000 アカウント
以下を行うべき
- Docker Hub パスワードの変更
- 必要に応じてGitHub/Bitbucket との再接続

会社の Slack で「Docker Hub、クラックされたって」と見かけて確認したらそんなメールが届いていた。

User Notification という件名はシンプルすぎないだろうか。。

そこで私個人の Docker Hub アカウントと私が管理している会社の Docker Hub アカウント両方のパスワードを更新した。

Bitbucket とは接続していなかったがいくつか GitHub とつなげていた。
会社の Docker Hub アカウントだけ再接続しておいた。
ゴールデンウィーク明けに自動ビルドできるか確認すればいいだろというくらいの気持ち。

個人の方はおいおい自動ビルドの確認をするつもり。
いずれにしても Docker 社の方で漏れたトークンはすでに無効にしてくれているとのことなので自動ビルドできない以上の問題はなさそう。

GitHub のセキュリティログを確認すると個人アカウントの方はたしかに OAuth application (Docker Hub Registry) deleted by associated OAuth application というログがあった。

会社アカウントの方はこのログがなかったので漏洩していないアカウントということだろうか。

メールでの案内も届いた人と届いていない人がいるようでよくわからない。
(私も個人宛には届いたが会社宛には届いていない)

私、
個人無料アカウント(Gmail)→通知きた
会社無料アカウント(G Suite)→通知こない
って状況です
— Hidenori Matsuki (@mazgi) April 27, 2019

見てみたら僕のアカウントにも同様のログがありましたw
— Tori Hara (@toricls) April 27, 2019

インシデントはもちろん発生しないことが望ましいが、もしインシデント対応することがあったらメールの件名とアナウンス先はわかりやすくしようと思った。

Docker Hub に限らずパスワード管理はだいたい1Passwordで行なっているのだけど今回のパスワード更新でもちょっと便利だった。

Docker Hub も多くの Web サービスと同じくパスワード変更時に以下 2 種類が必要。

1Password はパスワード履歴を持っているので安心してパスワードを生成し直して保存できる。
1Password 上で新パスワードを生成したあとで落ち着いて Docker Hub 上で新旧のパスワードを入力すれば良い。

ちょっと便利。