警惕：Thingiverse數(shù)據(jù)泄露？！228,000名訂閱者個人數(shù)據(jù)公開

導(dǎo)讀：信息技術(shù)如今在很大程度上影響著每個人的生活，在3D打印領(lǐng)域也不例外。

南極熊獲悉，2021年10月14日，一則來自haveibeenpwned.com的消息表明數(shù)字3D模型存儲庫Thingiverse遭受了大規(guī)模數(shù)據(jù)泄露，其中大約228,000名訂閱者的個人信息已在線公開。網(wǎng)站報(bào)告稱，Thingiverse的數(shù)據(jù)泄漏相當(dāng)大，似乎是一個包含超過2.55億行數(shù)據(jù)的MySQL數(shù)據(jù)庫。從2020年10月起，共有36GB的文件包含22.8 萬個電子郵件地址和其他信息。數(shù)據(jù)還包括未加鹽SHA-1或bcrypt哈希存儲的用戶名、IP地址、全名和密碼。某些情況下，物理地址似乎也被暴露了。

△HaveI Been Pwned發(fā)布泄露情況

MakerBot的開放模型平臺

Thingiverse由MakerBot于2008年創(chuàng)立，是一個創(chuàng)客社區(qū)，他們可以在這里自由發(fā)布3D打印模型以及相關(guān)文件。截至2018年10月，平臺的注冊用戶已超過200萬，并促進(jìn)了超3.4億的下載，并且在此后的三年中，它的規(guī)模和受歡迎程度持續(xù)增長。

△Thingiverse網(wǎng)站截圖

除了為用戶提供至少160萬種不同設(shè)計(jì)的訪問權(quán)限外，網(wǎng)站還允許他們通過自定義工具個性化模型，甚至使用OpenSCAD從頭開始​​構(gòu)建自己的模型。平臺還允許在GNUGeneral Public或Creative Commons的許可下上傳模型，因此，在那些尋求分享和討論他們作品的創(chuàng)意人士中很受歡迎。

然而，Thingiverse的開放性使其容易受到黑客攻擊。2017年12月，網(wǎng)站評論部分中的一個缺陷使黑客將其用作挖掘加密貨幣的手段。實(shí)際上，漏洞使犯罪者能夠利用訪問者計(jì)算機(jī)的CPU能力執(zhí)行挖掘比特幣等數(shù)字貨幣所需的計(jì)算。當(dāng)時，MakerBot表示，黑客背后的安全漏洞已經(jīng)得到糾正，因此“Thingiverse用戶無需擔(dān)心有人劫持他們的東西，也無需采取額外措施來保護(hù)自己的計(jì)算機(jī)。”這家公司還補(bǔ)充說，它已阻止違規(guī)者，而“挖掘腳本從未訪問過用戶的私人數(shù)據(jù)”，但在最新的黑客攻擊中，情況似乎并非如此。

第二次黑客攻擊

Thingiverse最新的泄密事件由“Have I Being Pwned”的創(chuàng)作者Troy Hunt公布，他在一個流行的黑客論壇上收到了數(shù)據(jù)泄露的警報(bào)。從那以后，他一直試圖找出細(xì)節(jié)，并告訴網(wǎng)絡(luò)安全情報(bào)公司信息安全媒體集團(tuán)(ISMG)。

△黑客論壇上泄漏的Thingiverse樣本數(shù)據(jù)集（圖片來源：raid論壇)

“數(shù)據(jù)集中最早的日期似乎可以追溯到大約十年前，但是，我還沒有對其進(jìn)行足夠仔細(xì)的分析”這是Hunt告訴ISMG的話�！坝嘘P(guān)于可以公開訪問的3D模型數(shù)據(jù)，但也有電子郵件和IP地址、用戶名、物理地址和全名�！�

根據(jù)Have I Being Pwned網(wǎng)站分析，數(shù)據(jù)緩存本身源自泄露的Thingiverse備份，電子郵件地址主要來自3D模型上留下的評論。雖然這些電子郵件以webdev+格式（例如[username]@makerbot.com）共享，但未加鹽SHA-1或bcrypt哈希文件在內(nèi)的用戶姓名、地址和密碼也被包含其中。

△圖片來源：haveibeenpwned.com

令人擔(dān)憂的是，通過對數(shù)據(jù)的調(diào)查，Hunt發(fā)現(xiàn)數(shù)據(jù)中bcrypt密碼哈�？梢员砻饔脩舻某錾�日期，但比較幸運(yùn)的是，他仍然沒有發(fā)現(xiàn)任何以“純文本”形式的密碼暴露。

緊急通知Thingiverse

Thingiverse的數(shù)據(jù)泄露時間最初是由一個名叫'pompompurin'的研究人員和網(wǎng)絡(luò)愛好者發(fā)現(xiàn)，'pompompurin'在Twitter和Keybase等論壇上有一定的知名度。在2021年10月1日找到信息緩存后，他們通過驗(yàn)證證明了它的有效性，然后確定其原因可能是“配置錯誤的S3存儲桶”，并直接聯(lián)系MakerBot表達(dá)了他們的擔(dān)憂。

△Hunt在Twitter上的呼吁

然而MakerBot并未對他們的警告有所行動，因此，pompompurin和他的網(wǎng)絡(luò)朋友將數(shù)據(jù)發(fā)布在一個黑客論壇上。此后，pompompurin、ISMG和Hunt都就數(shù)據(jù)泄露一事聯(lián)系了MakerBot，但很長一段時間都未能得到回應(yīng)。

△作為域監(jiān)控服務(wù)的一部分，HaveI been Pwned向Thingiverse用戶發(fā)送的通知。

擔(dān)心自己賬戶信息的小伙伴們可以通過Have I Being Pwned網(wǎng)站檢查自己的賬號是否被泄露：https://haveibeenpwned.com/。

最新動態(tài)：Thingiverse的回應(yīng)

在2021年10月15日，Thingiverse終于針對此事連發(fā)了兩條聲明：

“我們知道并解決了一個內(nèi)部錯誤，這錯誤導(dǎo)致Thingiverse上的一些非敏感用戶數(shù)據(jù)被泄露。我們向受影響的用戶發(fā)出通知，并鼓勵您更新Thingiverse帳戶的密碼。對于給您帶來的不便，我們深表歉意�！�

“為了澄清起見，此次曝光影響了少數(shù)（少于500個）真實(shí)用戶數(shù)據(jù)。非生產(chǎn)、非敏感數(shù)據(jù)包括加密密碼（隨機(jī)加鹽），主要是測試數(shù)據(jù)。已通知受影響的用戶�！�

△Thingiverse的回應(yīng)

另外，Makerbot的一位發(fā)言人還提供了以下評論：“我們沒有發(fā)現(xiàn)任何訪問​ Thingiverse帳戶的可疑企圖，并鼓勵相關(guān)Thingiverse成員更新他們的密碼作為預(yù)防措施。我們對此事件深表歉意，并對給用戶帶來的不便表示歉意。我們致力于通過透明度和嚴(yán)格的安全管理來保護(hù)我們寶貴的利益相關(guān)者和資產(chǎn)�！�

信息安全危機(jī)

信息安全之爭已經(jīng)逐漸成為了一場看不見的“戰(zhàn)爭”。而本次的泄露事件可能是3D打印歷史上最大的黑客攻擊事件，但絕不會是最后一次。

您或許會認(rèn)為暴露了很少使用的Thingiverse密碼沒什么大不了的，但它可能比您想象的要重要得多�？紤]到很多人對于不同繁瑣密碼在記憶方面的困難，許多人依然會在不同網(wǎng)站上使用相同的密碼。因此，一旦黑客獲得了您的ID和有效密碼，他們只需在任何其他服務(wù)上嘗試它就可以輕松使用你的賬戶，這一種方法被叫做“撞庫”。

為什么Thingiverse選擇將密碼以可解密的方式存儲？我不知道。但是寬泛的安全配置，確實(shí)會導(dǎo)致數(shù)據(jù)暴露，使密碼變得更加容易被破解。MakerBot或許應(yīng)該以更好的方式加密密碼，但為了保護(hù)個人賬戶，南極熊依然建議用戶更改密碼，并盡量不要在不同網(wǎng)站使用相同的密碼。另外，有些網(wǎng)站或者服務(wù)會使用雙重認(rèn)證，進(jìn)一步增加密碼的保密性，Thingiverse或許可以選擇用類似方式進(jìn)一步加固網(wǎng)站的安全性。

參考閱讀：

1. Thingiverse Data Leak Affects 228,000 Subscribers

2. Change Your Passwords: Thingiverse Hacked!

3. Check if your email or phone is in a data breach

4. CONFIRMED: PERSONAL DATA OF 228,000 SUBSCRIBERS LEAKED INTHINGIVERSE BREACH