三维软件

已确认:在Thingiverse事件中,22.8万名用户的个人数据被泄露

投票选出候选名单2021年3D打印行业大奖现在开放。你认为今年谁应该获得最高荣誉?现在有你的发言权。

数字3D模型库Thingiverse约22.8万名订阅者的个人信息被公开在网上,遭受了大规模数据泄露。

据称,这一36g的数据缓存最初于2020年10月泄露,其中包含独特的电子邮件地址和其他信息,可能被用作识别用户的手段。虽然这些细节已经在网上流传了一年多,但数据泄露通知服务提供商“我被解雇了吗现在已经找到证据表明它“在黑客社区中广泛流传”。

3D打印行业已经联系Thingiverse征求意见,但截至出版为止尚未收到回应,尽管该公司已经收到了回应告诉我是否被告知它“非常重视此事”,在撰写本文时,Thingiverse没有通知受影响的用户。[请参阅文章末尾的更新

Thingiverse主页上的3D打印模型精选。
尽管Thingiverse于2020年10月被黑客入侵,泄露了228000名用户的详细信息,但该网站尚未正式通知受影响方。

MakerBot的开放式模型平台

马克波特早在2008年,Thingiverse就已经是一个自诩为匠人社区的中心,在这里他们可以自由地发布其他人打印模型设计所需的文件。截至2018年10月,该平台已累积超过200万注册用户,并为其提供了便利3.4亿次对象下载在此后的三年中,它的范围和受欢迎程度都在持续增长。

除了为用户提供至少160万种不同的设计之外,该网站还允许用户通过其Customizer工具定制模型,甚至使用OpenSCAD从头开始构建自己的模型。该平台还允许模型在GNU通用公共或知识共享许可下上传,因此它在那些寻求分享和讨论他们的工作的创意人员中变得流行起来。

然而,Thingiverse的开放性已经被打破以前让它变得脆弱2017年12月,该网站评论部分的一个漏洞让黑客可以利用它作为挖掘加密货币的手段。实际上,这个漏洞使作案者能够利用访客电脑的CPU能力,并重新部署它来执行挖掘比特币等数字货币所需的计算。

当时,MakerBot表示,黑客背后的安全漏洞已经修复,所以“Thingiverse的用户不需要担心有人劫持他们的东西,也不需要采取额外的措施来保护自己的电脑。”该公司补充说,它已经禁止了违法者,而“挖掘脚本从未访问过用户的私人数据”,但在其最新的黑客行动中,情况似乎并非如此。

“我被入侵了”(Have I been Pwned)向Thingiverse用户发送的通知,是其域监控服务的一部分。
作为域名监控服务的一部分,“我被入侵了”(Have I been Pwned)向Thingiverse用户发送的通知。图片来自推特“Rapterron”。

Thingihack 2:这次是私人恩怨

Thingiverse最新的泄露事件是由《我被入侵了吗》(Have I been Pwned)的作者特洛伊·亨特(Troy Hunt)公布的,他在一个流行的黑客论坛上收到了被泄露数据的警告。从那时起,他就开始仔细研究细节,据报道,告诉网络安全情报公司信息安全媒体组它包含超过2.55亿行数据。

亨特告诉ISMG:“数据集中最早的日期戳似乎可以追溯到大约十年前,但我还没有对其进行足够仔细的分析。”。“有关于3D模型的数据可以公开访问,但也有电子邮件和IP地址、用户名、物理地址和全名。”

根据Have I Been Pwned的网站,数据缓存本身来自一个泄露的Thingiverse备份,电子邮件地址大多来自3D模型上留下的评论。虽然这些电子邮件以webdev+格式共享(例如[username]@makerbot.com),但用户的姓名、地址和密码都包含在加密友好的无盐SHA-1或bcrypt哈希文件中。

令人担忧的是,通过自己对数据的调查,亨特发现数据中bcrypt密码散列的存在可能表明用户的出生日期,但更令人欣慰的是,他仍然没有发现任何“纯文本”密码暴露。

Thingiverse的样本数据集在一个流行的黑客论坛上被泄露。
Thingiverse的样本数据在一个流行的黑客论坛上被泄露。图片来自Data Breach Today。

下一步是什么?

亨特第一次得知Thingiverse的数据泄露是通过“pompompurin她是一位网络发烧友,在Twitter和诸如此类的论坛上都有帖子钥匙座. 在2021年10月1日找到信息缓存后,他们首先通过与一位狂热爱好者分享来验证其有效性,然后确定其原因可能是“配置错误的S3存储桶”,并直接联系MakerBot了解他们的担忧。

由于对MakerBot缺乏行动感到沮丧,pompompurin的网友在一个已知的黑客论坛上发布了数据,并为这一举动辩护说:“他们如此鲁莽地留下了一个备份公众,这是他们应得的。”

就像pompompurin, 3D打印工业,ISMG和Hunt都联系了MakerBot就数据泄露发表评论,但到目前为止,MakerBot没有回应。在其他地方,亨特在Twitter上向Thingiverse发出了自己的呼吁,要求提供该网站安全团队的个人联系细节,说他“自己经常使用该网站,所以他*真的*想与那里的人取得联系。”

虽然到目前为止,他的推特还没有获得很大的吸引力,但推特用户的Rapterron作为回应,他批评Thingiverse是“他所见过的最被忽视和仍在使用的平台”,并打趣说,现在是“更改密码并移动到Prusa”。

更新:14/10/21英国夏令时22:00

Makerbot的发言人发表了以下评论:,“我们意识到并解决了一个内部人为错误,该错误导致少数Thingverse用户暴露了一些非敏感用户数据。我们没有发现任何可疑的试图访问Thingverse帐户的行为,我们鼓励相关Thingverse成员更新其密码作为预防措施。我们gize对此事件深表歉意,并对由此给用户带来的不便表示遗憾。我们致力于通过透明和严格的安全管理来保护我们宝贵的利益相关者和资产。”

要了解最新的3D打印新闻,请不要忘记订阅3D打印行业通讯或者继续跟随我们推特或者喜欢我们的页面脸谱网

想要更深入地了解增材制造,您现在可以订阅我们的Youtube频道,以3D打印的讨论、简报和镜头为特色。

你在找增材制造业的工作吗?访问3 d打印工作来选择行业中的角色。

特色图片显示了Thingiverse制造商“时钟计时器”开发的3D可打印“黑客”邮票。通过时钟计时器拍摄的照片。