Hace poco el equipo de Docker emitió un aviso de seguridad para anunciar el acceso no autorizado a una base de datos de Docker Hub por parte de una persona no identificada. El equipo de Docker se dio cuenta de la intrusión que duró solo un breve período el 25 de abril de 2019.

La base de datos de Docker Hub expuso información confidencial para aproximadamente 190,000 usuarios, incluidos los nombres de usuario y Contraseñas de hash, así como tokens para los repositorios GitHub y Bitbucket cuyo uso no recomendado por un tercero podría poner en peligro la integridad de los repositorios de código.

De acuerdo con la opinión de Docker, la información en la base de datos incluía tokens de acceso para los repositorios GitHub y Bitbucket que se usan para la compilación automática de código en Docker Hub, así como los nombres de usuario y las contraseñas un pequeño porcentaje de usuarios: 190,000 cuentas de usuarios que representan menos del 5% de los usuarios de Docker Hub.

De hecho, las claves de acceso GitHub y Bitbucket almacenadas en Docker Hub permiten a los desarrolladores modificar el código de su proyecto y compilar automáticamente la imagen en Docker Hub.

Las aplicaciones de los afectados podrían ser modificadas

El riesgo potencial para los 190,000 usuarios cuyas cuentas estaban expuestas es que si un atacante obtiene acceso a sus tokens de acceso, podría obtener acceso a su repositorio de código privado que podrían modificar en función de permisos almacenados en el token.

Si bien, si el código se cambia por motivos incorrectos y se han implementado imágenes comprometidas, esto podría provocar graves ataques en la cadena de suministro, ya que las imágenes de Docker Hub se usan comúnmente en las configuraciones y aplicaciones del servidor.

En su aviso de seguridad publicado la noche del viernes, Docker dijo que ya había revocado todos los tokens y las teclas de acceso en pantalla.

Docker también dijo que mejora sus procesos generales de seguridad y revisa sus políticas. También anunció que las nuevas herramientas de monitoreo están ahora en su lugar.

Sin embargo, es importante que los desarrolladores, que han utilizado la construcción automática de Docker Hub, comprueben sus repositorios de proyectos en busca de acceso no autorizado.

A continuación, el aviso de seguridad publicado por Docker el viernes por la noche:

El jueves 25 de abril de 2019, descubrimos un acceso no autorizado a una única base de datos de Hub que almacena un subconjunto de datos de no usuarios. financiera. Tras el descubrimiento, actuamos rápidamente para intervenir y asegurar el sitio.

Queremos informarle sobre lo que hemos aprendido de nuestra investigación en curso, incluida qué cuentas de Docker Hub se ven afectadas y qué medidas deben tomar los usuarios.

Esto es lo que hemos aprendido:

Durante un breve período de acceso no autorizado a una base de datos de Docker Hub, es posible que se hayan expuesto datos confidenciales de aproximadamente 190,000 cuentas (menos del 5% de los usuarios de Hub) .

Los datos incluyen los nombres de usuario y las contraseñas de hash de un pequeño porcentaje de estos usuarios, así como los tokens de Github y Bitbucket para las construcciones automáticas de Docker.

Acción a tomar:

Pedimos a los usuarios que cambien su contraseña en Docker Hub y cualquier otra cuenta que comparta esta contraseña.

Para los usuarios con servidores de compilación automática que pueden haber sido afectados, hemos revocado las claves de acceso y los tokens de GitHub y se le solicita que vuelva a conectarse a sus repositorios y verifique los registros de seguridad para ver si hay alguna acción. Se produjeron acontecimientos imprevistos.

Puede verificar las acciones de seguridad en sus cuentas de GitHub o BitBucket para ver si se ha producido algún acceso inesperado en las últimas 24 horas.

Esto puede afectar sus compilaciones actuales de nuestro servicio de compilación automatizado. Es posible que deba desconectar y volver a conectar su proveedor de fuentes Github y Bitbucket como se describe en el siguiente enlace.

El artículo Docker Hub fue hackeado y 190,000 cuentas fueron expuestas, tokens, accesos y mas ha sido originalmente publicado en Linux Adictos.

from Linux Adictos http://bit.ly/2GECPqv
via IFTTT

En una entrevista en el canal de noticias RT con Richard Stallman, programador, activista de software libre e instigador del proyecto GNU en 1983, sugirió que “Facebook es un monstruo de vigilancia” que se alimenta nuestros datos personales.

Según Richard Stallman, no hay duda al respecto. Facebook es un gran “motor de monitoreo” al que temer, porque la compañía tiene una gran cantidad de datos sobre cada persona que interactúa con sus plataformas, incluso si solo fue una vez.

La recopilación de datos personales es hoy en día la principal actividad de las redes sociales, ya que les permite categorizar a sus usuarios y ofrecerles los servicios que puedan necesitar.

Facebook solo debe servir para conectar a las personas una sola vez

En los últimos años, se han expresado preocupaciones sobre la seguridad de estos datos y la privacidad de los usuarios cuando la cantidad de escándalos a los que están vinculados los nombres de estas empresas ha aumentado significativamente, incluido Facebook. .

Para Stallman, la cosa está muy clara, una plataforma como Facebook no debería existir, porque no es muy útil para el mundo, sino que se convierte en una amenaza diaria para la seguridad de aquellos que usarlo.

Richard Stallman ha analizado los servicios ofrecidos por Facebook y dijo en la entrevista que lo único que él cree puede ser un poco útil en la plataforma es que puede ponerse en contacto con muchas personas, aparte de eso, el resto no importa, dice.

Desde el punto de vista de Richard, este tipo de plataformas deberían, en tiempos normales, simplemente servir para conectarse con las personas que lo deseen y una vez hecho esto “no debe seguir usándolas para comunicarse con su destinatario”.

Ya que esto lo puede hacer a través de otro sistema de comunicación de su elección, en este caso más seguro.

Habló sobre el hecho de que cuanto más tiempo permaneces en Facebook, más se te alienta a proporcionar más y más datos sobre ti mismo y más acabas siendo la mercancía que Facebook y su gente venden.

“Usted ve, el modelo de negocio de Facebook es presionar a las personas para que continúen comunicándose a través de Facebook y le den información personal a Facebook.

Eso es lo que hace de Facebook un monstruo de vigilancia. Facebook no tiene usuarios, pero de hecho, Facebook usa personas.

Yo no soy uno de ellos. Nunca he tenido una cuenta de Facebook y nunca lo haré. Facebook incluso está espiando a personas que no tienen una cuenta “, dijo.

La recopilación y venta de datos ya esta fuera de control

¿Por qué debería preocuparse la gente por los datos que las redes sociales recopilan sobre ellos?

Cuando RT le hizo esta pregunta, Stallman respondió que:

“Facebook personaliza a las personas y esta información se utiliza para manipularlos y para saber exactamente lo que quieren saber o no”.

Stallman fue un paso más allá al afirmar que gracias a este dominio sobre los datos, Facebook se utiliza para cometer discriminación racial en las ofertas de empleo y vivienda, y por lo tanto puede dañar a la población de muchas maneras.

Además, continúa, el gobierno de los EE. UU, a su discreción, puede decidir recopilar todos estos datos en cualquier momento y aprender mucho más sobre las personas.

Lo que él ha tratado de explicar es que ahora hay “intermediarios de datos”, ya que existen corredores de bolsa en Wall Street para animar las operaciones del mercado de valores.

Por ejemplo, las grandes compañías de datos como Google y Facebook, cada una con una gran cantidad de datos sobre personas, las venden a través de intermediarios de datos. Este proceso permite a los corredores estudiar los datos que poseen para conocer las identidades reales de las personas.

Cuando estas entidades toman posesión de estos datos, dice, están al tanto de sus actividades en Facebook, en Google y en Twitter, su registro de viaje de Uber, etc.

Y finalmente, juntan todo para sacar conclusiones.

Para Stallman, la situación ha llegado a un punto crítico y es probable que las cosas no mejoren, porque se supone que los que compran estos datos no conocen esa información sobre las personas.

Fuente y entrevista completa: https://www.rt.com

El artículo Richard Stallman: Facebook es un monstruo de vigilancia que se alimenta de nuestros datos ha sido originalmente publicado en Linux Adictos.

from Linux Adictos http://bit.ly/2UO74jT
via IFTTT