Security

10.000+ Docker Hub Images Bocorkan Kredensial dan Auth Keys

December 11, 2025
1 minute read

Peneliti keamanan menemukan lebih dari 10.000 image Docker Hub yang secara tidak sengaja membocorkan data sensitif, termasuk kredensial aktif ke sistem produksi, database CI/CD, dan kunci model LLM. Temuan ini menimbulkan risiko besar bagi lebih dari 100 organisasi, termasuk sebuah perusahaan Fortune 500 dan bank nasional besar.

Temuan Utama

  • Jumlah image terpengaruh: 10.456
  • Jumlah organisasi terdampak: 101 (sebagian besar UKM, beberapa perusahaan besar)
  • Sektor terdampak: pengembangan perangkat lunak, industri/market, AI & intelligent systems, serta lebih dari 10 perusahaan finansial dan perbankan.
  • Jenis data bocor:
    • Token akses AI (OpenAI, HuggingFace, Anthropic, Gemini, Groq) → 4.000 token ditemukan
    • Kredensial database & cloud access keys
    • GitHub tokens
    • Data autentikasi CI/CD dan integrasi pembayaran

Pola Kesalahan yang Ditemukan

  • Penggunaan file .ENV untuk menyimpan kredensial database, cloud keys, dan token autentikasi.
  • Hardcoded API tokens di file Python, config.json, YAML configs, dan manifest Docker.
  • Akun shadow IT (akun pribadi atau milik kontraktor) yang tidak diawasi ketat, menjadi sumber kebocoran.

Risiko Multi-Secret Exposure

42% dari image yang diteliti mengandung lebih dari lima nilai sensitif. Menurut Flare, hal ini sangat berbahaya karena dapat memberi akses penuh ke:

  • Lingkungan cloud
  • Repositori Git
  • Sistem CI/CD
  • Integrasi pembayaran
  • Infrastruktur inti perusahaan

Respons Developer

  • 25% developer yang menyadari kebocoran segera menghapus secret dari image/manifest dalam 48 jam.
  • Namun, 75% kasus tidak mencabut kunci yang sudah bocor, sehingga tetap bisa digunakan oleh pihak jahat untuk serangan di kemudian hari.

Rekomendasi Flare

  • Hindari menyimpan secrets dalam container images.
  • Jangan gunakan kredensial statis jangka panjang.
  • Gunakan vault/secrets manager terpusat untuk manajemen kredensial.
  • Terapkan active scanning sepanjang siklus pengembangan perangkat lunak.
  • Segera revoke secrets yang bocor dan invalidasi sesi lama.
Tags
December 11, 2025
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button