Duizenden bedrijfsgeheimen gelekt via Docker Hub
Een recent onderzoek door cybersecuritybedrijf Flare heeft onthuld dat duizenden gevoelige bedrijfsgeheimen, inclusief live inloggegevens voor productiesystemen en AI-modellen, onbedoeld zijn gelekt via containerimages op Docker Hub. De vondst, gedaan in slechts één maand van scannen, toont aan dat honderden organisaties onbewust blootgesteld zijn aan ernstige beveiligingsrisico's.
Uit de analyse bleek dat meer dan 10.000 Docker Hub-images gelekte 'secrets' bevatten, waaronder API-sleutels, databasetoegangen en cloud-credentials. Meer dan 100 organisaties werden geïdentificeerd als slachtoffer, waaronder een Fortune 500-bedrijf en een grote nationale bank.
De 'Shadow IT' en de AI-explosie
De bevindingen benadrukken een verontrustende verschuiving in het aanvalslandschap: aanvallers hoeven niet meer in te breken, ze loggen simpelweg in met sleutels die bedrijven zelf per ongeluk openbaar maken.
Massale blootstelling: 42% van de blootgestelde images bevatte vijf of meer geheimen, wat betekent dat één container de sleutel kan zijn tot een compleet cloud-ecosysteem, CI/CD-pijplijn of database.
AI-Sleutels bovenaan: De meest gelekte inloggegevens waren sleutels voor AI Large Language Models (LLM's), met bijna 4.000 exemplaren. Dit wijst erop dat de snelle adoptie van AI de beveiligingscontroles heeft ingehaald.
Onzichtbare lekken: Een aanzienlijk deel van de lekken kwam voort uit zogenaamde 'shadow IT'-accounts: persoonlijke of contractor-owned registries die volledig buiten het zicht van de bedrijfsmonitoring vielen.
De 'Achilleshiel' van softwarelevering
Volgens de onderzoekers zijn deze secrets – inloggegevens, tokens en certificaten – het bindweefsel van de moderne softwareleveringsketen (SDLC), maar ook een gevaarlijke kwetsbaarheid. Ze maken automatisering mogelijk, maar hun macht overstijgt vaak hun zichtbaarheid, waardoor ze onbeheerd en ongescand blijven.
Een alarmerend patroon dat Flare ontdekte, is dat ontwikkelaars in ongeveer 75% van de gevallen de gelekte geheimen weliswaar verwijderden uit hun containers, maar verzuimden de onderliggende sleutels in te trekken of te vervangen. Hierdoor bleven de organisaties maanden of zelfs jaren kwetsbaar, omdat de gelekte inloggegevens gewoon geldig bleven.
Experts dringen er bij organisaties op aan om onmiddellijk over te stappen op kortdurende, sessie-gebaseerde authenticatie in plaats van statische, langdurige tokens, en om het centraal beheer van geheimen (secrets management) te verplichten. De bevindingen bevestigen dat de beveiliging van de toeleveringsketen en cloudomgevingen niet willekeurig is, maar afhangt van de hygiëne van inloggegevens.
Meer over Security
Over Witold Kepinski
