三维软件

确认:Thingiverse泄露了22.8万用户的个人数据

投票入围名单2021年爱游戏备用网址3D打印行业大奖现在打开了。你认为今年谁应该获得最高荣誉?现在就说。

数字三维模型库Thingiverse遭受了大规模的数据泄露,约22.8万名订阅者的个人信息被公开在网上。

这个36g的数据缓存最初是在2020年10月泄露的,据说包含独特的电子邮件地址和其他信息,可以用来识别用户。虽然这些细节已经在网上流传了一年多,但数据泄露通知服务提供商“我被骗了吗现在发现了证据,表明它“在黑客社区中广泛传播”。

爱游戏备用网址3D打印行业已经联系了Thingiverse征求意见,但截至发表为止还没有收到回复,尽管该公司已经回复了告诉在我写这篇文章的时候,Thingiverse没有通知受影响的用户。[见文章末尾的更新

从Thingiverse的主页上选择的3D打印模型。
虽然Thingiverse在2020年10月遭到黑客攻击,泄露了22.8万用户的细节,但该网站尚未正式通知受影响的各方。通过Thingiverse形象。

MakerBot的开放模型平台

MakerBot早在2008年,Thingiverse就是一个自成体系的创客社区中心,他们可以在那里自由张贴所需的文件,供其他人3D打印他们的模型设计。截至2018年10月,该平台的注册用户已超过200万3.4亿次对象下载从那以后的三年里,它的范围和人气都在持续增长。

除了为用户提供至少160万种不同的设计之外,该网站还允许用户通过Customizer工具个性化模型,甚至使用OpenSCAD从头开始构建自己的模型。该平台还允许在GNU通用公共许可或创作共用许可下上传模型,因此它在那些寻求分享和讨论他们工作的创意人士中很受欢迎。

然而,Thingiverse的开放性有之前让它很脆弱2017年12月,该网站评论区的一个漏洞让黑客得以将其用作挖掘加密货币的手段。实际上,这一漏洞使犯罪分子能够利用访客电脑的CPU能力,并重新部署它,以执行挖掘比特币等数字货币所需的计算。

当时,MakerBot表示,黑客攻击背后的安全漏洞已经被纠正,所以“Thingiverse用户无需担心有人劫持他们的东西,也不需要采取额外的措施来保护他们的电脑。”该公司补充说,它已经禁止了违规者,而“挖掘脚本从未访问过用户的私人数据,”但在其最新的黑客攻击中,情况似乎并非如此。

“我已经被Pwned”发送给Thingiverse用户的通知是它的域监控服务的一部分。
“我已经被Pwned”发送给Thingiverse用户的通知是其域监控服务的一部分。图片来自推特“rapteron”。

事情二:这次是私人的

Thingiverse最新的泄密是由“我被入侵了吗”(Have I been Pwned)的创始人特洛伊·亨特(Troy Hunt)公布的,他在一个流行的黑客论坛上收到了数据被泄露的警告。从那时起,他就试图挑选细节,据报道,告诉网络安全情报公司信息安全传媒集团(ISMG),它包含超过2.55亿行数据。

亨特告诉ISMG:“数据集中最早的日期似乎可以追溯到大约10年前,然而,我还没有对其进行足够仔细的分析。”“3D模型上的数据可以公开访问,但也有电子邮件和IP地址、用户名、物理地址和全名。”

据Have I Been Pwned的网站称,数据缓存本身来自于Thingiverse泄露的备份,电子邮件地址大多来自对3D模型的评论。虽然这些电子邮件被理解为以webdev+格式共享(例如[username]@makerbot.com),但用户的姓名、地址和密码都被包含在加密友好的无咸SHA-1或bcrypt哈希文件中。

令人担忧的是,通过他自己对数据的调查,亨特发现数据中bcrypt密码哈希的存在可能表明用户的出生日期,但更有希望的是,他还没有发现任何“纯文本”密码泄露。

Thingiverse的样本数据集在一个流行的黑客论坛上被泄露。
Thingiverse的样本数据集在一个流行的黑客论坛上被泄露。图片来自今日数据泄露。

Thingiverse的下一步是什么?

亨特第一次得知Thingiverse的数据泄露是在“pompompurin他是一个网络发烧友,在推特(Twitter)和一些论坛上都有自己的账号Keybase.在2021年10月1日发现了信息缓存后,他们首先通过与其他爱好者分享来验证其有效性,然后确定其原因可能是“S3桶配置错误”,并直接与MakerBot联系他们的担忧。

pompompurin的网友对MakerBot缺乏行动感到沮丧,他在一个知名的黑客论坛上发布了这些数据,并为自己的举动辩护说,“他们如此鲁莽,留下了一个备份,这是他们应得的。”

就像pompompurin, 3D打印行业,I爱游戏备用网址SMG和Hunt都联系了MakerBot对数据泄露的评论,但到目前为止它没有回应。此外,亨特还在推特上向Thingiverse发出了请求,要求提供该网站安全团队的个人联系方式,他表示“自己经常使用该网站,所以他‘真的’很想和那里的某人取得联系。”

虽然到目前为止他的推文还没有获得很大的关注,但推特用户“Rapterron的回应是,批评Thingiverse是“他见过的最被忽视、仍在使用的平台”,并打趣说,现在是“修改密码、转移到这个平台的时候了。Prusa.”

更新:英国夏令时22:00,14/10/21

Makerbot的发言人提供了以下评论:“我们意识到一个内部人为错误,导致少数Thingverse用户的一些非敏感用户数据被泄露,我们已经解决了这个错误。我们还没有发现任何可疑的企图进入Thingiverse账户的行为,我们鼓励相关的Thingiverse成员更新他们的密码作为预防措施。我们对此事件深表歉意,并对由此给用户造成的不便表示歉意。我们致力于通过透明和严格的安全管理来保护我们宝贵的利益相关者和资产。”

要跟上最新的3D打印新闻,不要忘记订阅爱游戏备用网址3D打印行业通讯ayx体育彩票或者跟随我们推特或者点赞我们的页面脸谱网

想要更深入地了解增材制造,现在可以订阅我们的Youtube频道,以讨论、汇报和3D打印的镜头为特色。

你想在增材制造行业找一份工作吗?访问3 d打印工作来选择行业中的角色。

图片展示的是Thingiverse制造商Clocktimer开发的可3D打印的“黑客入侵”邮票。“通过Clocktimer拍照。