Docker Hub Suffers a Data Breach, Asks Users to Reset Password

Por Wang Wei em 24 de abril de 2019 no site The Hacker News.

Docker Hub, one of the largest cloud-based library of Docker container images, has suffered a data breach after an unknown attacker gained access to the company's single Hub database.

Docker Hub is an online repository service where users and partners can create, test, store and distribute Docker container images, both publicly and privately.

The breach reportedly exposed sensitive information for nearly 190,000 Hub users (that's less than 5 percent of total users), including usernames and hashed passwords for a small percentage of the affected users, as well as Github and Bitbucket tokens for Docker repositories.

Docker Hub started notifying affected users via emails informing them about the security incident and asking them to change their passwords for Docker Hub, as well as any online account using the same password.

"On Thursday, April 25th, 2019, we discovered unauthorized access to a single Hub database storing a subset of non-financial user data. Upon discovery, we acted quickly to intervene and secure the site."

"For users with autobuilds that may have been impacted, we have revoked GitHub tokens and access keys, and ask that you reconnect to your repositories and check security logs to see if any unexpected actions have taken place."

The company has not revealed any further details about the security incident or how the unknown attackers gained access to its database.

Docker says the company is continuing to investigate the security breach and will share more information as it becomes available.

The company is also working to enhance its overall security processes and reviewing its policies following the breach.

Terremotos, Furacões e Violações Gigantes de Dados

Rodrigo Fragola *

Publicada em 22 de setembro de 2017 no site CIO.

Há muitos furacões e terremotos no noticiário das últimas semanas, mas vamos falar apenas do mundo cibernético. Refiro-me ao recente cataclisma que levou a pique o gigantesco transatlântico de dados da Equifax e comprometeu as informações de metade dos norte-americanos.

A Equifax, todos sabemos, é uma das maiores custodiantes globais de dados críticos de terceiros, tais como registro social, dados bancários, números de cartões, seguro saúde, históricos de débitos, quitações e relacionamentos comerciais que permitem pintar um retrato detalhado do cidadão, seja para o bem ou para o mal. 

A Equifax não é só uma grande corporação para a qual o dado é algo estratégico; mas é, digamos, uma integrante do oligopólio mundial de dados econômicos do consumidor. E que, portanto, tem nos dados a essência do seu negócio, e não o meio.

A Equifax, ainda assim, é a vítima recente de um fiasco cibernético cuja mácula irá marcar sua história e que, sem dúvida, irá lhe custar – de forma tangível ou intangível – algum valor na casa dos bilhões.  E isto, é claro, sem falar nos inestimáveis prejuízos potenciais para aquela massa de cidadãos vazados.

Mas como isto se passou?

Vamos encarar esta questão apenas de raspão, já que o problema é colossal e a realidade ainda é nebulosa.

O tipo de violação infligido à Equifax foi um abuso de backdoor, como o que já ocorreu em uma grande lista de outras tomadas de assalto em massa. Sabe-se que uma brecha em certa aplicação web baseada no código de engenharia Apache Stratos foi a porta de entrada para o invasor.

Um dado assustador (embora não inédito ou raro) foi a demora de 70 dias para que as equipes de segurança da Equifax se dessem conta de algo estranho, enquanto o invasor fazia a festa.   

Uma vez detectado o ataque, apelou-se a uma empresa “White hat” para varrer as brechas, corrigi-las e  destravar as armadilhas. Mas, até onde se sabe, esta renomada equipe contratada mais serviu para realizar a “autópsia”, pouco restando para salvar após a exfiltração já feita.

O que podemos apreender daí?

Podemos presumir, por exemplo, que a aplicação do “patch de correção” no tal aplicativo escrito em Stratos poderia evitar novas invasões, mas não iria corrigir o estrago já infligido.

É bem provável também que o time da Equifax não contasse com alguns novos requisitos estratégicos, como a reautenticação permanente dos acessantes (pessoas ou entidades lógicas), de preferência com múltiplos fatores e com capacidade analítica de contextos.

É quase certo que tenha faltado á Equifax uma concepção “ecossistêmica” de segurança. Como bem observou o Gartner ao New York Times, a Equifax teria muito mais chance contra esta violação se possuísse uma segurança unificada em camadas. Em outras palavras, digo eu, abrangendo todos os sete níveis da estrutura, indo do firewall de perímetro, às camadas de rede e de usuários; até o nível das aplicações, onde uma ferramenta WAF (Web Application Firewall) com inteligência artificial agiria de forma proativa para fazer a correção preventiva de brechas através de “patches virtuais”.

Um forte indício de que nada disso existia é o de que a violação continuou operando por um bom tempo, mesmo após a intervenção dos técnicos.  Para piorar,  nem a equipe da Equifax nem sua empresa de apoio externo conseguiram determinar ao certo de onde ou de quem partiu o ataque.

Pode ter sido apenas um hacker solitário que chegou àquela base dados por acaso. Ou pode ter sido um desses grupos criminosos cada vez mais bem organizados e lastreados em boas estratégias. Um desses grupos, aliás, reivindicou o ataque e pediu um resgate em Bitcoins que não está claro se foi pago.

Mas o ataque pode ter sido uma ação de estado – Coréia do Norte, Rússia, China, Irã... quem é que arrisca um palpite? Daí que uma outra conclusão do episódio é a que reforça a tese da insegurança estrutural no atual ambiente cibernético, onde ninguém mais é capaz de delimitar onde é que termina o crime e onde começa a guerra cibernética.

Insegurança esta que se acentua com a existência dos Bitcoins (ou outras criptomoedas), esta moeda ainda tão pouco conhecida e pouco regulamentada, que vem legendada como coadjuvante na esmagadora maioria dos sequestros de dados atuais.  

(*) Rodrigo Fragola é CEO da Aker N-Stalker e diretor de segurança e defesa nas entidades Sinfor (Sindicato da Indústria de Informática) e ASSESPRO-DF

Especialista confirma vazamento de senhas e nomes de usuários de e-commerce brasileiros

Da Redação Computerworld

Em 17/07/2017

Desde domingo, 15, cibercriminosos estão publicando arquivos com centenas de senhas e nomes de usuários de sites de e-commerce brasileiros no serviço de publicação de textos Pastebin. Segundo o especialista em segurança da informação, Paulo Brito, que primeiro identificou o vazamento no domingo, o número de senhas e nomes de usuários passava de 800 até esta segunda-feira, 17. A lista de sites inclui Magazine Luiza, Extra, Ponto Frio, PagSeguro e Ingresso.com.

"Na manhã de domingo encontrei um vazamento grande de logins, senhas, nomes e CPFs de clientes do Magazine Luiza, Ponto Frio, PagSeguro, e Extra no Pastebin. Somente do Magazine Luiza eram mais de 500 senhas e do Ponto Frio outras tantas 194", explicou Brito. O especialista diz que testou as senhas, verificou que eram verdadeiras e entrou em contato com o Magazine Luiza, GPA e UOL. "O pessoal do Magazine Luiza pediu ao Pastebin para tirar o arquivo do ar. Não sei o que os outros dois fizeram", diz.

O vazamento, segundo Brito, parecia recente, "menos de 24 horas", "mas também poderia ter sido copiado de alguma coisa mais antiga". Hoje, 16/07, pela manhã, Paulo Brito encontrou mais alguns lotes de senhas do PagSeguro.

"Se você tem login em desses lugares entre lá e mude a senha já. Se não conseguir entrar é porque a sua senha foi mudada por outra pessoa. Nesse caso, use o "perdi minha senha", o telefone ou qualquer outro recurso porque o problema pode ser grande. Corra antes que os bandidos também achem a lista", alerta Brito

O especialista explica que a publicação de lotes de senhas no Pastebin é um tipo de isca para atrair interessados em comprar lotes maiores que o cibercriminoso tenha em mãos. "O que acontece é que os bandidos vão guardando, montando as listas e de vez em quando publicam parte delas para que outros comprem — é propaganda. Quem compra pega esses dados, altera o endereço de entrega da mercadoria, altera o e-mail (para o dono da conta não ser notificado de nada), pega um cartão roubado e faz a compra.