Az adatvédelmi rémálom: több mint 10 ezer Docker Hub-kép titkot szivárogtat

Több mint 10 000 Docker Hubon elérhető konténerképben találtak olyan érzékeny adatokat, amelyeknek sosem kellett volna nyilvánosságra kerülniük. Ezek között élő hozzáférési adatok szerepelnek éles rendszerekhez, CI/CD-adatbázisokhoz, sőt, MI-modellekhez tartozó kulcsok is előkerültek a novemberi vizsgálat során. A Flare nevű biztonsági kutatócég elemzése alapján a leggyakrabban előforduló titkok MI-modellekhez kapcsolódtak (például OpenAI-, Hugging Face-, Anthropic-, Gemini-, Groq-hozzáférések), összesen 4000 ilyen kulcsot találtak.

Beégetett kulcsok és komoly veszélyek

Nemcsak egyszerűen benne maradtak API-tokenek Python-fájlokban, konfigurációs állományokban, hanem a Docker-képek manifesztjeibe is elmentették ezeket a kritikus információkat. Ezek a többféle titokhoz hozzáférést adó adatszivárgások óriási kockázatot jelentenek, hiszen akár a teljes felhőinfrastruktúrák, Git-repozitóriumok vagy fizetési rendszerek is kompromittálódhatnak miattuk.

A fejlesztők hibáznak – és lassan javítanak

A vizsgált esetek negyedében a fejlesztők észrevették a hibát, és 48 órán belül törölték a titkos adatokat a konténerből vagy a manifesztből. Ugyanakkor az esetek 75%-ában nem vonták vissza a kiszivárgott kulcsokat, így azok bármikor újrafelhasználhatók támadásokhoz.

Mi a teendő?

A Flare szerint titkokat sosem szabad konténerképekbe menteni, és kerülni kell a statikus, hosszú élettartamú hitelesítő adatokat. Létfontosságú a központosított titokkezelés, aktív ellenőrzések végzése a fejlesztési ciklus minden szakaszában, a kiszivárgott adatok azonnali visszavonása, valamint a régi kulcsok inaktiválása.

2025, adrienne, yro.slashdot.org alapján

Share on Social Media