3D模型网站Thingiverse被曝泄露了22.8万名用户资料

数字3D模型库 Thingiverse 遭受了大规模数据泄露，其中大约 228,000 名订阅者的个人信息已在线公开。
据称，该 36 GB 数据缓存最初于 2020 年 10 月泄露，其中包含可被用作识别用户身份的唯一电子邮件地址和其他信息。虽然这些细节已经在网上流传了一年多，但数据泄露通知服务提供商“Have I Being Pwned”现在发现证据表明它“在黑客社区中广泛流传”。
Makerbot 的一位发言人发表了以下评论：“我们意识到并解决了一个内部人为错误，该错误导致少数Thingiverse用户暴露了一些非敏感用户数据。我们没有发现任何访问Thingiverse 帐户的可疑企图，我们鼓励相关 Thingiverse 成员更新他们的密码作为预防措施。我们对此事件深表歉意，并对给用户带来的不便表示歉意。我们致力于通过透明度和严格的安全管理来保护我们宝贵的利益相关者和资产。”
Thingiverse 由 MakerBot 于 2008 年创立，是创客社区的一个自称中心，他们可以在这里自由发布其他人 3D 打印模型设计所需的文件。截至 2018 年 10 月，该平台已拥有超过 200 万注册用户，并促进了超过 3.4 亿次对象下载，并且在此后的三年中，它的范围和受欢迎程度持续增长。
除了为用户提供至少 160 万种不同设计的访问权限外，该网站还允许他们通过自定义工具个性化模型，甚至使用 OpenSCAD 从头开始构建自己的模型。该平台还允许在 GNU General Public 或 Creative Commons 许可下上传模型，因此它在那些寻求分享和讨论他们作品的创意人士中很受欢迎。
然而，Thingiverse 的开放性此前使其容易受到黑客攻击，2017 年 12 月，该网站评论部分中的一个缺陷允许黑客将其用作挖掘加密货币的手段。实际上，该漏洞使犯罪者能够利用访问者计算机的 CPU 能力，并重新部署它来执行挖掘比特币等数字货币所需的计算。
当时，MakerBot 表示，黑客背后的安全漏洞已经得到纠正，因此“Thingiverse 用户无需担心有人劫持他们的东西，也无需采取额外措施来保护自己的计算机。”该公司补充说，它已禁止违规者，而“挖掘脚本从未访问过用户的私人数据”，但在其最新的黑客攻击中，情况似乎并非如此。
Thingihack II：这次是个人的
Thingiverse 的最新泄密事件已由“我被 Pwned”的创作者特洛伊亨特公布，他在一个流行的黑客论坛上收到了泄露数据的警报。从那以后，他一直试图找出细节，据报道告诉网络安全情报公司信息安全媒体集团 (ISMG)，其中包含超过 2.55 亿行数据。
“数据集中最早的日期戳似乎可以追溯到大约十年前，但是，我还没有对其进行足够仔细的分析，”亨特告诉 ISMG。“有关于 3D 模型的数据可以公开访问，但也有电子邮件和 IP 地址、用户名、物理地址和全名。”
根据 Have I Being Pwned 的网站，数据缓存本身源自泄露的 Thingiverse 备份，电子邮件地址主要来自 3D 模型上留下的评论。虽然这些电子邮件被理解为以 webdev+ 格式（例如 [username]@makerbot.com）共享，但用户的姓名、地址和密码包含在加密友好的未加盐 SHA-1 或 bcrypt 哈希文件中。
令人担忧的是，通过自己对数据的调查，亨特发现数据中存在 bcrypt 密码哈希可以表明用户的出生日期，但更有希望的是，他仍然没有发现任何“纯文本”密码暴露。
Thingiverse 的下一步是什么？
“pompompurin”是一位在 Twitter 和 Keybase 等论坛上活跃的网络爱好者，他首先向 Huntiverse 发出了有关 Thingiverse 数据泄露的警报。在 2021 年 10 月 1 日找到信息缓存后，他们最初通过与一位爱好者分享来验证其有效性，然后确定其原因可能是“配置错误的 S3 存储桶”，并直接联系 MakerBot 表达他们的担忧。
对 MakerBot 缺乏行动感到沮丧，pompompurin 的网络朋友将数据发布在一个已知的黑客论坛上，为这一举动辩护说：“他们应该如此鲁莽，以至于留下备份公众。”
尽管到目前为止他的推文还没有获得很大的吸引力，但 Twitter 用户“Rapterron”的回应是批评 Thingiverse 是“他见过的最被忽视和仍在使用的平台”，并打趣说“是时候更改密码，然后转到其他平台了。”
文章转载自网事全知道