DockerHub上暴露了“数千”个秘密,从无害的API密钥到潜在有害的信息。这是来自Cyber​​news研究团队的研究人员的说法,他们最近分析了10,178个DockerHub镜像。其中,他们发现近5,500个容器镜像(54%)包含可能被视为敏感信息的秘密。

DockerHub可能包含数千个有价值的秘密而且它们都清晰可见

从这5,500个容器图像中,研究人员准确提取了191,529个秘密。其中许多是重复的,删除后,研究人员就留下了48,481个独特的秘密。

Perimeter81的恶意软件防护可在交付阶段拦截威胁,以防止已知恶意软件、多态攻击、零日攻击等。让您的员工自由使用网络,而无需担心数据和网络安全。

最常见的秘密是GitHub代币,占已发现的所有秘密(51,038)的26.6%。其次是Datadog令牌(13.9%)和统一资源标识符(7.6%)。还发现了一万个用于加密或解密的私钥。

虽然这些数字令人震惊,但那些注重细节的人可以发现更有效的秘密。例如,研究人员发现了超过9,000个PayPalOAuth秘密,用于控制对用户帐户和财务信息的访问。此外,还有近8,000个UnifyID秘密可能会泄露身份数据。

保存这些秘密的容器已被下载超过1320亿次。

Cyber​​news研究员VincentasBaubonis警告说:“这意味着暴露的秘密可能会在全球多个服务器上运行,从而带来风险,并耗尽不起眼的DockerHub贡献者的云资源。”

“在线上传图像时暴露任何秘密都会导致威胁行为者发现它们的风险很高。”

研究人员进一步解释说,大多数秘密来自重复使用含有敏感信息的包裹。

“开发人员暴露了各种隐藏数据类型和大量敏感数据。每个易受攻击的docker镜像的独特秘密的比例实际上是八比一,这意味着一个镜像暴露任何秘密,平均可能会暴露其中的八个秘密。”Baubonis警告说。

该研究揭示了将敏感数据留在容器镜像中的普遍做法,促使组织呼吁加强安全措施。Baubonis建议开发人员重置暴露的秘密,加密图像中的敏感数据,并教育员工了解与嵌入数据相关的风险。