Mais de 10 mil imagens de contêiner publicadas no Docker Hub continham dados sensíveis expostos, incluindo credenciais ativas de produção, chaves de acesso a bancos de dados, tokens de CI/CD e até chaves de modelos de IA (LLM) como OpenAI, HuggingFace, Anthropic, Gemini e Groq.
A descoberta foi feita pela equipe de segurança da Flare, que identificou 10.456 imagens com um ou mais segredos expostos. Segundo o relatório, pouco mais de 100 organizações foram afetadas, entre elas uma empresa da Fortune 500 e um grande banco nacional.
O que aconteceu?
O Docker Hub, maior registry público de contêineres, é amplamente utilizado por desenvolvedores para hospedar, compartilhar e distribuir imagens prontas para execução. Porém, práticas inadequadas na criação dessas imagens continuam a provocar a exposição de segredos críticos.
Ao analisar imagens publicadas em novembro, os pesquisadores encontraram:
- Cerca de 4.000 tokens de acesso a modelos de IA.
- 42% das imagens afetadas com cinco ou mais valores sensíveis expostos.
- Múltiplas credenciais de nuvem, GitHub, integrações de pagamento e sistemas de CI/CD.
Segundo a Flare, esse tipo de exposição representa riscos sérios, pois oferece acesso direto a infraestruturas corporativas inteiras.
Quem foi afetado?
A análise de 205 namespaces revelou um total de 101 empresas impactadas, principalmente:
- Desenvolvedores de software
- Indústrias
- Empresas de Inteligência Artificial
Mais de dez organizações do setor financeiro também tiveram dados expostos, ampliando o potencial de ataques direcionados.
Como os segredos vazaram?
Os principais erros encontrados incluem:
- Uso de arquivos .env dentro da imagem contendo credenciais de banco, chaves de API e tokens estáticos.
- Tokens hardcoded em arquivos Python, YAML, config.json e outros arquivos de configuração.
- Segredos presentes em manifests do Docker, facilitando a extração por qualquer pessoa que acessasse a imagem.
- Publicações feitas por contas de shadow IT, como perfis pessoais de desenvolvedores ou contas pouco gerenciadas.
Embora 25% dos desenvolvedores tenham removido as informações vazadas em até 48 horas, 75% não revogaram as chaves comprometidas, deixando suas infraestruturas vulneráveis por longos períodos.
Riscos e consequências
A exposição de credenciais em imagens de contêiner pode permitir:
- Acesso a ambientes na nuvem
- Clonagem de repositórios Git
- Comprometimento de pipelines de CI/CD
- Uso indevido de integrações de pagamento
- Manipulação de aplicações internas e produção
Ataques desse tipo podem resultar em sequestro de recursos, movimentação lateral, roubo de dados e exploração contínua por meses.
Como prevenir vazamentos de segredos em imagens Docker
A Flare recomenda as seguintes boas práticas:
1. Nunca armazene segredos dentro da imagem
Evite incluir arquivos .env, chaves estáticas ou credenciais embutidas no código.
2. Abandone o uso de credenciais estáticas
Prefira chaves dinâmicas, tokens temporários e políticas de rotação automática.
3. Centralize a gestão de segredos
Use cofres dedicados como HashiCorp Vault, AWS Secrets Manager, Google Secret Manager ou ferramentas equivalentes.
4. Implemente escaneamento contínuo
Faça análise de segurança em todas as etapas do ciclo de vida do software, não apenas no deploy.
5. Revogue rapidamente os segredos expostos
Mesmo que removidos do contêiner, eles permanecem válidos até serem revogados.
6. Audite contas e elimine shadow IT
Garanta que toda publicação no Docker Hub passe por pipelines oficiais e práticas de segurança padronizadas.
Conclusão
O vazamento de mais de 10 mil imagens com credenciais expostas no Docker Hub mostra que más práticas de desenvolvimento continuam sendo uma das principais causas de falhas de segurança. Com o crescimento do uso de IA, contêineres e pipelines automatizados, garantir a proteção de segredos é essencial para evitar acessos indevidos e ataques em larga escala.
