企業が「あらゆるアプリケーションを構築、管理、保護」し、「どこにでも展開」できるようにする開発プラットフォームであるDockerは先週、19万人のユーザー情報を漏洩させたデータベースハッキングを発見したと発表しました。ハッカーはユーザー名、ハッシュ化されたパスワード、そして場合によっては多くの開発者がバージョン管理に使用している人気のGitプラットフォーム上のリポジトリへのアクセスに使用されるGitHubとBitbucketのアクセストークンを収集しました。
本当に問題を抱えているのは、GitHubとBitbucketのアクセストークンが侵害された人々です。これらのトークンは、Gitリポジトリに保存されたコードのイメージを自動的にビルドするために使用されます。Bleeping Computerは、トークンによって付与された権限によっては、Dockerをハッキングした者がこれらのアクセストークンを使用して、対応するコードリポジトリを改変できる可能性があると報じました。これにより、これらのサービスのユーザーに対するさらなるハッキングが可能になります。しかし、Dockerは盗まれたアクセストークンを失効させたため、これらの攻撃は不可能であると述べています。
同社は、自社サイトだけでなく、同じパスワードを使用している他のサイトでも、ユーザーに対しパスワードの変更を呼びかけている。また、アクセストークンが不正使用されたユーザーには、GitHubまたはBitbucketにアカウントを再接続するよう指示した。さらに、「セキュリティプロセス全体を強化し、ポリシーを見直している」と述べ、「追加の監視ツールを導入している」と付け加えた。
このハッキングは、タイミングの悪いタイミングで発生した。同社は4月24日、Armとの提携を発表し、開発者がArmアーキテクチャベースのプロセッサを搭載したシステムに「クラウド、エッジ、IoT環境向けアプリケーション」をより容易に導入できるようにした。また、4月29日から5月2日まで、コンテナ業界カンファレンス「DockerCon」を開催する予定だ。しかし、Dockerはこれらのイベントの盛り上がりを損なうことを望んでいないようで、ソーシャルメディアアカウント、ブログ、ウェブサイトのニュースセクションでは、データベースハッキングに関する報道はことごとく軽視されている。
その代わりに、Dockerは自社のサクセスセンターで攻撃について公表し、影響を受けた可能性のあるユーザーに直接情報を提供しました。こうすることで、Dockerは何が起きたと考えているかを人々に知らせつつ、より好ましい発表に注力することができます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
