Docker Hub存万级镜像安全风险,或泄露密钥信息
12月11日消息,网络安全公司Flare昨日发布一项调查报告,其研究团队在11月份对Docker Hub进行全面扫描后发现,超过1万个容器镜像泄露了敏感数据,包括生产系统凭证、CI/CD数据库密码以及OpenAI、HuggingFace等平台的AI模型密钥。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
该团队通过扫描全球最大的容器镜像库Docker Hub,共发现10456个镜像至少暴露了一个敏感密钥。
据报告披露,在这些泄露数据中,AI模型的访问令牌出现频率最高,涉及OpenAI、HuggingFace、Anthropic等主流平台,总数高达4000个。
更令人担忧的是,42%的问题镜像同时泄露了五个以上的敏感值,这意味着攻击者很可能借此获取云环境、代码仓库及支付系统的完全访问权限。
研究人员通过分析205个命名空间,确认此次泄露事件直接影响了101家公司,受影响的群体主要集中在软件开发领域,其次是营销、工业及智能系统行业。
尽管大多数受影响的是中小企业,但名单中也出现了一家“财富500强”企业以及超过10家金融和银行机构。这些高价值目标的敏感数据泄露,极可能引发严重的供应链攻击或资金风险。
Flare在分析泄露源头时发现,最常见的错误是开发者用于存储数据库凭证和云访问密钥的.ENV文件直接留在了镜像中。此外,研究人员还在Python应用程序文件、JSON配置及YAML文件中发现了大量被“硬编码”的API token。
报告特别指出,许多泄露源来自所谓的“影子IT”账户,即属于承包商或员工个人使用的Docker Hub账户,这些账户通常游离于企业严格的安全监控体系之外。
本次调查揭示了一个致命的安全盲区:虽然约25%的开发者意识到错误后,会在48小时内从容器的清单文件中删除泄露的秘密信息,但其中高达75%的案例并未撤销相应的密钥。
这意味着,只要攻击者在泄露窗口期内截获了这些凭证,即使原文件已被删除,他们仍可长期利用未失效的密钥发起攻击。对此,Flare建议企业应集中管理机密信息,杜绝在镜像中存储静态凭证,并实施全生命周期的自动化扫描。
热门专题
热门推荐
鲁大师软件管家可安全升级常用软件:一、启动后点击顶部“软件管家”选项卡自动扫描;二、在“可升级软件”列表点击绿色“升级”按钮确认安装;三、勾选多个软件后点“批量升级”按钮并发处理;
3月29日,北京已在全国率先启动智能网联新能源汽车商业保险产品开发应用。新产品基本沿用现有的新能源商业车险体系,按照“总体稳定、部分优化”的原则,主要为消费者和汽车企业关心的特定智驾场景、软硬件损失
预计苹果今年将发布两款新的 iPhone 应用,包括 Apple Business 应用和一款具备类似聊天机器人功能的 Siri 应用。借助 Apple Business 应用,使用全新 Apple
据 Axios 报道,苹果公司已聘请前谷歌副总裁 Lilian Rincon 担任人工智能产品营销副总裁。加入苹果之前, Rincon 曾任谷歌购物产品副总裁。在苹果, Rincon 将负责苹果所有
3月29日消息,谁能料到前段时间奥迪车主与雷军之间的那个打赌,竟然还有后续。这到底是咋回事?事情发生在3月25日,网友@单手开吉利 在雷军的微博评论区晒出了自己去年10月刚提的奥迪车,还当场立下一个