警惕：Thingiverse數(shù)據(jù)泄露,？,！228,000名訂閱者個人數(shù)據(jù)公開

導(dǎo)讀：信息技術(shù)如今在很大程度上影響著每個人的生活,，在3D打印領(lǐng)域也不例外,。

南極熊獲悉,，2021年10月14日,，一則來自haveibeenpwned.com的消息表明數(shù)字3D模型存儲庫Thingiverse遭受了大規(guī)模數(shù)據(jù)泄露,，其中大約228,000名訂閱者的個人信息已在線公開。網(wǎng)站報告稱,，Thingiverse的數(shù)據(jù)泄漏相當(dāng)大,，似乎是一個包含超過2.55億行數(shù)據(jù)的MySQL數(shù)據(jù)庫,。從2020年10月起，共有36GB的文件包含22.8 萬個電子郵件地址和其他信息,。數(shù)據(jù)還包括未加鹽SHA-1或bcrypt哈希存儲的用戶名,、IP地址、全名和密碼,。某些情況下,，物理地址似乎也被暴露了。

△HaveI Been Pwned發(fā)布泄露情況

MakerBot的開放模型平臺

Thingiverse由MakerBot于2008年創(chuàng)立,，是一個創(chuàng)客社區(qū),，他們可以在這里自由發(fā)布3D打印模型以及相關(guān)文件。截至2018年10月,，平臺的注冊用戶已超過200萬,，并促進(jìn)了超3.4億的下載，并且在此后的三年中,，它的規(guī)模和受歡迎程度持續(xù)增長,。

△Thingiverse網(wǎng)站截圖

除了為用戶提供至少160萬種不同設(shè)計的訪問權(quán)限外，網(wǎng)站還允許他們通過自定義工具個性化模型,，甚至使用OpenSCAD從頭開始​​構(gòu)建自己的模型,。平臺還允許在GNUGeneral Public或Creative Commons的許可下上傳模型,，因此,，在那些尋求分享和討論他們作品的創(chuàng)意人士中很受歡迎。

然而,，Thingiverse的開放性使其容易受到黑客攻擊,。2017年12月，網(wǎng)站評論部分中的一個缺陷使黑客將其用作挖掘加密貨幣的手段,。實際上,，漏洞使犯罪者能夠利用訪問者計算機(jī)的CPU能力執(zhí)行挖掘比特幣等數(shù)字貨幣所需的計算。當(dāng)時,，MakerBot表示,，黑客背后的安全漏洞已經(jīng)得到糾正，因此“Thingiverse用戶無需擔(dān)心有人劫持他們的東西,，也無需采取額外措施來保護(hù)自己的計算機(jī),。”這家公司還補(bǔ)充說,，它已阻止違規(guī)者,，而“挖掘腳本從未訪問過用戶的私人數(shù)據(jù)”，但在最新的黑客攻擊中,，情況似乎并非如此,。

第二次黑客攻擊

Thingiverse最新的泄密事件由“Have I Being Pwned”的創(chuàng)作者Troy Hunt公布,，他在一個流行的黑客論壇上收到了數(shù)據(jù)泄露的警報。從那以后,，他一直試圖找出細(xì)節(jié),，并告訴網(wǎng)絡(luò)安全情報公司信息安全媒體集團(tuán)(ISMG)。

△黑客論壇上泄漏的Thingiverse樣本數(shù)據(jù)集（圖片來源：raid論壇)

“數(shù)據(jù)集中最早的日期似乎可以追溯到大約十年前,，但是,，我還沒有對其進(jìn)行足夠仔細(xì)的分析”這是Hunt告訴ISMG的話�,！坝嘘P(guān)于可以公開訪問的3D模型數(shù)據(jù),，但也有電子郵件和IP地址、用戶名,、物理地址和全名,。”

根據(jù)Have I Being Pwned網(wǎng)站分析,，數(shù)據(jù)緩存本身源自泄露的Thingiverse備份,，電子郵件地址主要來自3D模型上留下的評論。雖然這些電子郵件以webdev+格式（例如[username]@makerbot.com）共享,，但未加鹽SHA-1或bcrypt哈希文件在內(nèi)的用戶姓名,、地址和密碼也被包含其中。

△圖片來源：haveibeenpwned.com

令人擔(dān)憂的是,，通過對數(shù)據(jù)的調(diào)查,，Hunt發(fā)現(xiàn)數(shù)據(jù)中bcrypt密碼哈希可以表明用戶的出生日期,，但比較幸運(yùn)的是,，他仍然沒有發(fā)現(xiàn)任何以“純文本”形式的密碼暴露。

緊急通知Thingiverse

Thingiverse的數(shù)據(jù)泄露時間最初是由一個名叫'pompompurin'的研究人員和網(wǎng)絡(luò)愛好者發(fā)現(xiàn),，'pompompurin'在Twitter和Keybase等論壇上有一定的知名度,。在2021年10月1日找到信息緩存后，他們通過驗證證明了它的有效性,，然后確定其原因可能是“配置錯誤的S3存儲桶”,，并直接聯(lián)系MakerBot表達(dá)了他們的擔(dān)憂。

△Hunt在Twitter上的呼吁

然而MakerBot并未對他們的警告有所行動,，因此,，pompompurin和他的網(wǎng)絡(luò)朋友將數(shù)據(jù)發(fā)布在一個黑客論壇上。此后,，pompompurin,、ISMG和Hunt都就數(shù)據(jù)泄露一事聯(lián)系了MakerBot，但很長一段時間都未能得到回應(yīng),。

△作為域監(jiān)控服務(wù)的一部分，HaveI been Pwned向Thingiverse用戶發(fā)送的通知,。

擔(dān)心自己賬戶信息的小伙伴們可以通過Have I Being Pwned網(wǎng)站檢查自己的賬號是否被泄露：https://haveibeenpwned.com/,。

最新動態(tài)：Thingiverse的回應(yīng)

在2021年10月15日，Thingiverse終于針對此事連發(fā)了兩條聲明：

“我們知道并解決了一個內(nèi)部錯誤,，這錯誤導(dǎo)致Thingiverse上的一些非敏感用戶數(shù)據(jù)被泄露,。我們向受影響的用戶發(fā)出通知，并鼓勵您更新Thingiverse帳戶的密碼,。對于給您帶來的不便,，我們深表歉意�,！�

“為了澄清起見,，此次曝光影響了少數(shù)（少于500個）真實用戶數(shù)據(jù)。非生產(chǎn),、非敏感數(shù)據(jù)包括加密密碼（隨機(jī)加鹽）,，主要是測試數(shù)據(jù)。已通知受影響的用戶,�,！�

△Thingiverse的回應(yīng)

另外，Makerbot的一位發(fā)言人還提供了以下評論：“我們沒有發(fā)現(xiàn)任何訪問​ Thingiverse帳戶的可疑企圖,，并鼓勵相關(guān)Thingiverse成員更新他們的密碼作為預(yù)防措施,。我們對此事件深表歉意，并對給用戶帶來的不便表示歉意,。我們致力于通過透明度和嚴(yán)格的安全管理來保護(hù)我們寶貴的利益相關(guān)者和資產(chǎn),。”

信息安全危機(jī)

信息安全之爭已經(jīng)逐漸成為了一場看不見的“戰(zhàn)爭”,。而本次的泄露事件可能是3D打印歷史上最大的黑客攻擊事件，但絕不會是最后一次,。

您或許會認(rèn)為暴露了很少使用的Thingiverse密碼沒什么大不了的,，但它可能比您想象的要重要得多�,？紤]到很多人對于不同繁瑣密碼在記憶方面的困難,，許多人依然會在不同網(wǎng)站上使用相同的密碼。因此,，一旦黑客獲得了您的ID和有效密碼,，他們只需在任何其他服務(wù)上嘗試它就可以輕松使用你的賬戶，這一種方法被叫做“撞庫”,。

為什么Thingiverse選擇將密碼以可解密的方式存儲,？我不知道,。但是寬泛的安全配置，確實會導(dǎo)致數(shù)據(jù)暴露,，使密碼變得更加容易被破解,。MakerBot或許應(yīng)該以更好的方式加密密碼，但為了保護(hù)個人賬戶,，南極熊依然建議用戶更改密碼,，并盡量不要在不同網(wǎng)站使用相同的密碼。另外,，有些網(wǎng)站或者服務(wù)會使用雙重認(rèn)證,，進(jìn)一步增加密碼的保密性，Thingiverse或許可以選擇用類似方式進(jìn)一步加固網(wǎng)站的安全性,。

參考閱讀：

1. Thingiverse Data Leak Affects 228,000 Subscribers

2. Change Your Passwords: Thingiverse Hacked!

3. Check if your email or phone is in a data breach

4. CONFIRMED: PERSONAL DATA OF 228,000 SUBSCRIBERS LEAKED INTHINGIVERSE BREACH