22.8萬(wàn)人信息泄露，3D模型庫(kù)Thingiverse安全漏洞的后續(xù)信息

導(dǎo)讀：2021年10月14日，一則來(lái)自HaveIBeenPwned.com網(wǎng)站的消息表明，Makerbot的3D建模型社區(qū)Thingiverse的數(shù)據(jù)庫(kù)遭到泄露，約22.8萬(wàn)名訂閱者的個(gè)人數(shù)據(jù)（包括電子郵件地址以及輕度加密的密碼）被公開(kāi)，南極熊對(duì)此事的后續(xù)進(jìn)行了關(guān)注。

△Have I Been Pwned發(fā)布泄露情況

南極熊了解到，Thingiverse的安全漏洞可能沒(méi)有最初設(shè)想的那么糟糕。根據(jù)曾經(jīng)在Makerbot工作，現(xiàn)在就職于TwoSense的軟件工程師TJ Horner（https://tjhorner.dev/）的說(shuō)法， 他檢查了已經(jīng)在線發(fā)布的數(shù)據(jù)轉(zhuǎn)儲(chǔ)文件并了解了相關(guān)信息，發(fā)現(xiàn)了以下有意思的事情：

• 數(shù)據(jù)實(shí)際上來(lái)自一個(gè)暫存數(shù)據(jù)庫(kù)，其中包含Thingiverse創(chuàng)建以來(lái)至2018年5月18日的社區(qū)活動(dòng)數(shù)據(jù)。在這之后創(chuàng)建的數(shù)據(jù)不在數(shù)據(jù)轉(zhuǎn)儲(chǔ)中。
• 轉(zhuǎn)儲(chǔ)中的數(shù)據(jù)確實(shí)包含了2,079,011名用戶。
• 自泄漏事件曝光以來(lái)，MakerBot表示只有大約500名用戶受到影響。但Horner認(rèn)為這是轉(zhuǎn)儲(chǔ)中非MakerBot帳戶的數(shù)量，其余是內(nèi)部帳戶。
  

△TJ Horner對(duì)于泄露數(shù)據(jù)的分析

Horner分析了數(shù)據(jù)內(nèi)容，認(rèn)為在2018年5月18日之前Thingiverse的所有真實(shí)的、實(shí)時(shí)的用戶生產(chǎn)數(shù)據(jù)都被泄露，包括包括以下值得注意的選項(xiàng)：

• 哈希密碼（SHA-1 或bcrypt）
• 物理地址
• 用戶之間的DM
• 審核日志
  

霍納還警告說(shuō)：

“有了這些泄露的數(shù)據(jù)，有一種方法可以控制此次泄露中任何用戶擁有的每臺(tái)連接互聯(lián)網(wǎng)的MakerBot打印機(jī)，而用戶對(duì)此無(wú)能為力。為了給MakerBot一個(gè)修復(fù)它的機(jī)會(huì)，我還不想詳細(xì)討論這個(gè)問(wèn)題。但這真的很糟糕�！�

△Thingiverse的回應(yīng)

截至目前，除了Thingiverse在Twitter上發(fā)表的兩份聲明之外，MakerBot還未就此事發(fā)布官方公告。鑒于網(wǎng)站對(duì)目前為止的兩次數(shù)據(jù)危機(jī)的反應(yīng)不佳，許多3D打印用戶紛紛呼吁離開(kāi)Thingiverse。一些用戶正在刪除他們的帳戶，而數(shù)字藝術(shù)家也正在將他們的作品遷移到其他存儲(chǔ)庫(kù)。

△黑客論壇上泄漏的Thingiverse樣本數(shù)據(jù)集（圖片來(lái)源：raid論壇)

與此同時(shí)，對(duì)于信息安全問(wèn)題，南極熊強(qiáng)烈建議您更改密碼，并且盡量避免在不同站點(diǎn)使用相同的密碼。如果您的電子郵件和密碼已經(jīng)確認(rèn)從Thingiverse泄露，為避免被有心之人利用，南極熊還強(qiáng)烈建議為您對(duì)于關(guān)鍵服務(wù)（例如您的銀行網(wǎng)站等重要賬戶）啟用雙重身份驗(yàn)證。

參考閱讀：

1. 警惕：Thingiverse數(shù)據(jù)泄露？！228,000名訂閱者個(gè)人數(shù)據(jù)公開(kāi)
2. Could This New Data Breach End Thingiverse?
3. More On The Thingiverse Security Breach
4. TJ Horner‘s Twitter