3D模型網站Thingiverse被曝泄露了22.8萬名用戶資料

數字3D模型庫 Thingiverse 遭受了大規(guī)模數據泄露，其中大約 228,000 名訂閱者的個人信息已在線公開。
據稱，該 36 GB 數據緩存最初于 2020 年 10 月泄露，其中包含可被用作識別用戶身份的唯一電子郵件地址和其他信息。雖然這些細節(jié)已經在網上流傳了一年多，但數據泄露通知服務提供商“Have I Being Pwned”現在發(fā)現證據表明它“在黑客社區(qū)中廣泛流傳”。
Makerbot 的一位發(fā)言人發(fā)表了以下評論：“我們意識到并解決了一個內部人為錯誤，該錯誤導致少數Thingiverse用戶暴露了一些非敏感用戶數據。我們沒有發(fā)現任何訪問Thingiverse 帳戶的可疑企圖，我們鼓勵相關 Thingiverse 成員更新他們的密碼作為預防措施。我們對此事件深表歉意，并對給用戶帶來的不便表示歉意。我們致力于通過透明度和嚴格的安全管理來保護我們寶貴的利益相關者和資產。”
Thingiverse 由 MakerBot 于 2008 年創(chuàng)立，是創(chuàng)客社區(qū)的一個自稱中心，他們可以在這里自由發(fā)布其他人 3D 打印模型設計所需的文件。截至 2018 年 10 月，該平臺已擁有超過 200 萬注冊用戶，并促進了超過 3.4 億次對象下載，并且在此后的三年中，它的范圍和受歡迎程度持續(xù)增長。
除了為用戶提供至少 160 萬種不同設計的訪問權限外，該網站還允許他們通過自定義工具個性化模型，甚至使用 OpenSCAD 從頭開始構建自己的模型。該平臺還允許在 GNU General Public 或 Creative Commons 許可下上傳模型，因此它在那些尋求分享和討論他們作品的創(chuàng)意人士中很受歡迎。
然而，Thingiverse 的開放性此前使其容易受到黑客攻擊，2017 年 12 月，該網站評論部分中的一個缺陷允許黑客將其用作挖掘加密貨幣的手段。實際上，該漏洞使犯罪者能夠利用訪問者計算機的 CPU 能力，并重新部署它來執(zhí)行挖掘比特幣等數字貨幣所需的計算。
當時，MakerBot 表示，黑客背后的安全漏洞已經得到糾正，因此“Thingiverse 用戶無需擔心有人劫持他們的東西，也無需采取額外措施來保護自己的計算機。”該公司補充說，它已禁止違規(guī)者，而“挖掘腳本從未訪問過用戶的私人數據”，但在其最新的黑客攻擊中，情況似乎并非如此。
Thingihack II：這次是個人的
Thingiverse 的最新泄密事件已由“我被 Pwned”的創(chuàng)作者特洛伊亨特公布，他在一個流行的黑客論壇上收到了泄露數據的警報。從那以后，他一直試圖找出細節(jié)，據報道告訴網絡安全情報公司信息安全媒體集團 (ISMG)，其中包含超過 2.55 億行數據。
“數據集中最早的日期戳似乎可以追溯到大約十年前，但是，我還沒有對其進行足夠仔細的分析，”亨特告訴 ISMG。“有關于 3D 模型的數據可以公開訪問，但也有電子郵件和 IP 地址、用戶名、物理地址和全名。”
根據 Have I Being Pwned 的網站，數據緩存本身源自泄露的 Thingiverse 備份，電子郵件地址主要來自 3D 模型上留下的評論。雖然這些電子郵件被理解為以 webdev+ 格式（例如 [username]@makerbot.com）共享，但用戶的姓名、地址和密碼包含在加密友好的未加鹽 SHA-1 或 bcrypt 哈希文件中。
令人擔憂的是，通過自己對數據的調查，亨特發(fā)現數據中存在 bcrypt 密碼哈?？梢员砻饔脩舻某錾掌?，但更有希望的是，他仍然沒有發(fā)現任何“純文本”密碼暴露。
Thingiverse 的下一步是什么？
“pompompurin”是一位在 Twitter 和 Keybase 等論壇上活躍的網絡愛好者，他首先向 Huntiverse 發(fā)出了有關 Thingiverse 數據泄露的警報。在 2021 年 10 月 1 日找到信息緩存后，他們最初通過與一位愛好者分享來驗證其有效性，然后確定其原因可能是“配置錯誤的 S3 存儲桶”，并直接聯系 MakerBot 表達他們的擔憂。
對 MakerBot 缺乏行動感到沮喪，pompompurin 的網絡朋友將數據發(fā)布在一個已知的黑客論壇上，為這一舉動辯護說：“他們應該如此魯莽，以至于留下備份公眾。”
盡管到目前為止他的推文還沒有獲得很大的吸引力，但 Twitter 用戶“Rapterron”的回應是批評 Thingiverse 是“他見過的最被忽視和仍在使用的平臺”，并打趣說“是時候更改密碼，然后轉到其他平臺了。”
文章轉載自網事全知道