3D模型網(wǎng)站Thingiverse被曝泄露了22.8萬名用戶資料

數(shù)字3D模型庫 Thingiverse 遭受了大規(guī)模數(shù)據(jù)泄露，其中大約 228,000 名訂閱者的個(gè)人信息已在線公開。
據(jù)稱，該 36 GB 數(shù)據(jù)緩存最初于 2020 年 10 月泄露，其中包含可被用作識(shí)別用戶身份的唯一電子郵件地址和其他信息。雖然這些細(xì)節(jié)已經(jīng)在網(wǎng)上流傳了一年多，但數(shù)據(jù)泄露通知服務(wù)提供商“Have I Being Pwned”現(xiàn)在發(fā)現(xiàn)證據(jù)表明它“在黑客社區(qū)中廣泛流傳”。
Makerbot 的一位發(fā)言人發(fā)表了以下評(píng)論：“我們意識(shí)到并解決了一個(gè)內(nèi)部人為錯(cuò)誤，該錯(cuò)誤導(dǎo)致少數(shù)Thingiverse用戶暴露了一些非敏感用戶數(shù)據(jù)。我們沒有發(fā)現(xiàn)任何訪問Thingiverse 帳戶的可疑企圖，我們鼓勵(lì)相關(guān) Thingiverse 成員更新他們的密碼作為預(yù)防措施。我們對(duì)此事件深表歉意，并對(duì)給用戶帶來的不便表示歉意。我們致力于通過透明度和嚴(yán)格的安全管理來保護(hù)我們寶貴的利益相關(guān)者和資產(chǎn)。”
Thingiverse 由 MakerBot 于 2008 年創(chuàng)立，是創(chuàng)客社區(qū)的一個(gè)自稱中心，他們可以在這里自由發(fā)布其他人 3D 打印模型設(shè)計(jì)所需的文件。截至 2018 年 10 月，該平臺(tái)已擁有超過 200 萬注冊(cè)用戶，并促進(jìn)了超過 3.4 億次對(duì)象下載，并且在此后的三年中，它的范圍和受歡迎程度持續(xù)增長。
除了為用戶提供至少 160 萬種不同設(shè)計(jì)的訪問權(quán)限外，該網(wǎng)站還允許他們通過自定義工具個(gè)性化模型，甚至使用 OpenSCAD 從頭開始構(gòu)建自己的模型。該平臺(tái)還允許在 GNU General Public 或 Creative Commons 許可下上傳模型，因此它在那些尋求分享和討論他們作品的創(chuàng)意人士中很受歡迎。
然而，Thingiverse 的開放性此前使其容易受到黑客攻擊，2017 年 12 月，該網(wǎng)站評(píng)論部分中的一個(gè)缺陷允許黑客將其用作挖掘加密貨幣的手段。實(shí)際上，該漏洞使犯罪者能夠利用訪問者計(jì)算機(jī)的 CPU 能力，并重新部署它來執(zhí)行挖掘比特幣等數(shù)字貨幣所需的計(jì)算。
當(dāng)時(shí)，MakerBot 表示，黑客背后的安全漏洞已經(jīng)得到糾正，因此“Thingiverse 用戶無需擔(dān)心有人劫持他們的東西，也無需采取額外措施來保護(hù)自己的計(jì)算機(jī)。”該公司補(bǔ)充說，它已禁止違規(guī)者，而“挖掘腳本從未訪問過用戶的私人數(shù)據(jù)”，但在其最新的黑客攻擊中，情況似乎并非如此。
Thingihack II：這次是個(gè)人的
Thingiverse 的最新泄密事件已由“我被 Pwned”的創(chuàng)作者特洛伊亨特公布，他在一個(gè)流行的黑客論壇上收到了泄露數(shù)據(jù)的警報(bào)。從那以后，他一直試圖找出細(xì)節(jié)，據(jù)報(bào)道告訴網(wǎng)絡(luò)安全情報(bào)公司信息安全媒體集團(tuán) (ISMG)，其中包含超過 2.55 億行數(shù)據(jù)。
“數(shù)據(jù)集中最早的日期戳似乎可以追溯到大約十年前，但是，我還沒有對(duì)其進(jìn)行足夠仔細(xì)的分析，”亨特告訴 ISMG。“有關(guān)于 3D 模型的數(shù)據(jù)可以公開訪問，但也有電子郵件和 IP 地址、用戶名、物理地址和全名。”
根據(jù) Have I Being Pwned 的網(wǎng)站，數(shù)據(jù)緩存本身源自泄露的 Thingiverse 備份，電子郵件地址主要來自 3D 模型上留下的評(píng)論。雖然這些電子郵件被理解為以 webdev+ 格式（例如 [username]@makerbot.com）共享，但用戶的姓名、地址和密碼包含在加密友好的未加鹽 SHA-1 或 bcrypt 哈希文件中。
令人擔(dān)憂的是，通過自己對(duì)數(shù)據(jù)的調(diào)查，亨特發(fā)現(xiàn)數(shù)據(jù)中存在 bcrypt 密碼哈?？梢员砻饔脩舻某錾掌?，但更有希望的是，他仍然沒有發(fā)現(xiàn)任何“純文本”密碼暴露。
Thingiverse 的下一步是什么？
“pompompurin”是一位在 Twitter 和 Keybase 等論壇上活躍的網(wǎng)絡(luò)愛好者，他首先向 Huntiverse 發(fā)出了有關(guān) Thingiverse 數(shù)據(jù)泄露的警報(bào)。在 2021 年 10 月 1 日找到信息緩存后，他們最初通過與一位愛好者分享來驗(yàn)證其有效性，然后確定其原因可能是“配置錯(cuò)誤的 S3 存儲(chǔ)桶”，并直接聯(lián)系 MakerBot 表達(dá)他們的擔(dān)憂。
對(duì) MakerBot 缺乏行動(dòng)感到沮喪，pompompurin 的網(wǎng)絡(luò)朋友將數(shù)據(jù)發(fā)布在一個(gè)已知的黑客論壇上，為這一舉動(dòng)辯護(hù)說：“他們應(yīng)該如此魯莽，以至于留下備份公眾。”
盡管到目前為止他的推文還沒有獲得很大的吸引力，但 Twitter 用戶“Rapterron”的回應(yīng)是批評(píng) Thingiverse 是“他見過的最被忽視和仍在使用的平臺(tái)”，并打趣說“是時(shí)候更改密碼，然后轉(zhuǎn)到其他平臺(tái)了。”
文章轉(zhuǎn)載自網(wǎng)事全知道