22.8萬人信息泄露，3D模型庫Thingiverse安全漏洞的后續(xù)信息

導(dǎo)讀：2021年10月14日，一則來自HaveIBeenPwned.com網(wǎng)站的消息表明，Makerbot的3D建模型社區(qū)Thingiverse的數(shù)據(jù)庫遭到泄露，約22.8萬名訂閱者的個人數(shù)據(jù)（包括電子郵件地址以及輕度加密的密碼）被公開，南極熊對此事的后續(xù)進行了關(guān)注。

△Have I Been Pwned發(fā)布泄露情況

南極熊了解到，Thingiverse的安全漏洞可能沒有最初設(shè)想的那么糟糕。根據(jù)曾經(jīng)在Makerbot工作，現(xiàn)在就職于TwoSense的軟件工程師TJ Horner（https://tjhorner.dev/）的說法， 他檢查了已經(jīng)在線發(fā)布的數(shù)據(jù)轉(zhuǎn)儲文件并了解了相關(guān)信息，發(fā)現(xiàn)了以下有意思的事情：

• 數(shù)據(jù)實際上來自一個暫存數(shù)據(jù)庫，其中包含Thingiverse創(chuàng)建以來至2018年5月18日的社區(qū)活動數(shù)據(jù)。在這之后創(chuàng)建的數(shù)據(jù)不在數(shù)據(jù)轉(zhuǎn)儲中。
• 轉(zhuǎn)儲中的數(shù)據(jù)確實包含了2,079,011名用戶。
• 自泄漏事件曝光以來，MakerBot表示只有大約500名用戶受到影響。但Horner認為這是轉(zhuǎn)儲中非MakerBot帳戶的數(shù)量，其余是內(nèi)部帳戶。
  

△TJ Horner對于泄露數(shù)據(jù)的分析

Horner分析了數(shù)據(jù)內(nèi)容，認為在2018年5月18日之前Thingiverse的所有真實的、實時的用戶生產(chǎn)數(shù)據(jù)都被泄露，包括包括以下值得注意的選項：

• 哈希密碼（SHA-1 或bcrypt）
• 物理地址
• 用戶之間的DM
• 審核日志
  

霍納還警告說：

“有了這些泄露的數(shù)據(jù)，有一種方法可以控制此次泄露中任何用戶擁有的每臺連接互聯(lián)網(wǎng)的MakerBot打印機，而用戶對此無能為力。為了給MakerBot一個修復(fù)它的機會，我還不想詳細討論這個問題。但這真的很糟糕?！?/div>

△Thingiverse的回應(yīng)

截至目前，除了Thingiverse在Twitter上發(fā)表的兩份聲明之外，MakerBot還未就此事發(fā)布官方公告。鑒于網(wǎng)站對目前為止的兩次數(shù)據(jù)危機的反應(yīng)不佳，許多3D打印用戶紛紛呼吁離開Thingiverse。一些用戶正在刪除他們的帳戶，而數(shù)字藝術(shù)家也正在將他們的作品遷移到其他存儲庫。

△黑客論壇上泄漏的Thingiverse樣本數(shù)據(jù)集（圖片來源：raid論壇)

與此同時，對于信息安全問題，南極熊強烈建議您更改密碼，并且盡量避免在不同站點使用相同的密碼。如果您的電子郵件和密碼已經(jīng)確認從Thingiverse泄露，為避免被有心之人利用，南極熊還強烈建議為您對于關(guān)鍵服務(wù)（例如您的銀行網(wǎng)站等重要賬戶）啟用雙重身份驗證。

參考閱讀：

1. 警惕：Thingiverse數(shù)據(jù)泄露？！228,000名訂閱者個人數(shù)據(jù)公開
2. Could This New Data Breach End Thingiverse?
3. More On The Thingiverse Security Breach
4. TJ Horner‘s Twitter