導(dǎo)讀:信息技術(shù)如今在很大程度上影響著每個(gè)人的生活,,在3D打印領(lǐng)域也不例外。
南極熊獲悉,,2021年10月14日,,一則來(lái)自haveibeenpwned.com的消息表明數(shù)字3D模型存儲(chǔ)庫(kù)Thingiverse遭受了大規(guī)模數(shù)據(jù)泄露,,其中大約228,000名訂閱者的個(gè)人信息已在線公開(kāi)。網(wǎng)站報(bào)告稱,,Thingiverse的數(shù)據(jù)泄漏相當(dāng)大,,似乎是一個(gè)包含超過(guò)2.55億行數(shù)據(jù)的MySQL數(shù)據(jù)庫(kù)。從2020年10月起,,共有36GB的文件包含22.8 萬(wàn)個(gè)電子郵件地址和其他信息,。數(shù)據(jù)還包括未加鹽SHA-1或bcrypt哈希存儲(chǔ)的用戶名、IP地址,、全名和密碼,。某些情況下,物理地址似乎也被暴露了,。
Have I Been Pwned發(fā)布泄露情況.png (272.01 KB, 下載次數(shù): 53)
下載附件
2021-10-15 21:44 上傳
△HaveI Been Pwned發(fā)布泄露情況
MakerBot的開(kāi)放模型平臺(tái)
Thingiverse由MakerBot于2008年創(chuàng)立,,是一個(gè)創(chuàng)客社區(qū),他們可以在這里自由發(fā)布3D打印模型以及相關(guān)文件,。截至2018年10月,,平臺(tái)的注冊(cè)用戶已超過(guò)200萬(wàn),并促進(jìn)了超3.4億的下載,,并且在此后的三年中,,它的規(guī)模和受歡迎程度持續(xù)增長(zhǎng)。
Thingiverse網(wǎng)站截圖.png (736.32 KB, 下載次數(shù): 87)
下載附件
2021-10-15 21:44 上傳
△Thingiverse網(wǎng)站截圖
除了為用戶提供至少160萬(wàn)種不同設(shè)計(jì)的訪問(wèn)權(quán)限外,,網(wǎng)站還允許他們通過(guò)自定義工具個(gè)性化模型,,甚至使用OpenSCAD從頭開(kāi)始構(gòu)建自己的模型。平臺(tái)還允許在GNUGeneral Public或Creative Commons的許可下上傳模型,,因此,,在那些尋求分享和討論他們作品的創(chuàng)意人士中很受歡迎。
然而,,Thingiverse的開(kāi)放性使其容易受到黑客攻擊,。2017年12月,網(wǎng)站評(píng)論部分中的一個(gè)缺陷使黑客將其用作挖掘加密貨幣的手段,。實(shí)際上,,漏洞使犯罪者能夠利用訪問(wèn)者計(jì)算機(jī)的CPU能力執(zhí)行挖掘比特幣等數(shù)字貨幣所需的計(jì)算。當(dāng)時(shí),,MakerBot表示,,黑客背后的安全漏洞已經(jīng)得到糾正,因此“Thingiverse用戶無(wú)需擔(dān)心有人劫持他們的東西,,也無(wú)需采取額外措施來(lái)保護(hù)自己的計(jì)算機(jī),。”這家公司還補(bǔ)充說(shuō),它已阻止違規(guī)者,,而“挖掘腳本從未訪問(wèn)過(guò)用戶的私人數(shù)據(jù)”,,但在最新的黑客攻擊中,情況似乎并非如此,。
第二次黑客攻擊
Thingiverse最新的泄密事件由“Have I Being Pwned”的創(chuàng)作者Troy Hunt公布,,他在一個(gè)流行的黑客論壇上收到了數(shù)據(jù)泄露的警報(bào)。從那以后,,他一直試圖找出細(xì)節(jié),,并告訴網(wǎng)絡(luò)安全情報(bào)公司信息安全媒體集團(tuán)(ISMG)。
黑客論壇上泄漏的Thingiverse樣本數(shù)據(jù)集(圖片來(lái)源:raid論壇).jpg (56.45 KB, 下載次數(shù): 71)
下載附件
2021-10-15 21:44 上傳
△黑客論壇上泄漏的Thingiverse樣本數(shù)據(jù)集(圖片來(lái)源:raid論壇)
“數(shù)據(jù)集中最早的日期似乎可以追溯到大約十年前,,但是,,我還沒(méi)有對(duì)其進(jìn)行足夠仔細(xì)的分析”這是Hunt告訴ISMG的話�,!坝嘘P(guān)于可以公開(kāi)訪問(wèn)的3D模型數(shù)據(jù),,但也有電子郵件和IP地址、用戶名,、物理地址和全名,。”
根據(jù)Have I Being Pwned網(wǎng)站分析,,數(shù)據(jù)緩存本身源自泄露的Thingiverse備份,,電子郵件地址主要來(lái)自3D模型上留下的評(píng)論。雖然這些電子郵件以webdev+格式(例如[username]@makerbot.com)共享,,但未加鹽SHA-1或bcrypt哈希文件在內(nèi)的用戶姓名,、地址和密碼也被包含其中。
圖片來(lái)源:haveibeenpwned.com.jpg (53.72 KB, 下載次數(shù): 79)
下載附件
2021-10-15 21:44 上傳
△圖片來(lái)源:haveibeenpwned.com
令人擔(dān)憂的是,,通過(guò)對(duì)數(shù)據(jù)的調(diào)查,,Hunt發(fā)現(xiàn)數(shù)據(jù)中bcrypt密碼哈希可以表明用戶的出生日期,,但比較幸運(yùn)的是,,他仍然沒(méi)有發(fā)現(xiàn)任何以“純文本”形式的密碼暴露。
緊急通知Thingiverse
Thingiverse的數(shù)據(jù)泄露時(shí)間最初是由一個(gè)名叫'pompompurin'的研究人員和網(wǎng)絡(luò)愛(ài)好者發(fā)現(xiàn),,'pompompurin'在Twitter和Keybase等論壇上有一定的知名度,。在2021年10月1日找到信息緩存后,他們通過(guò)驗(yàn)證證明了它的有效性,,然后確定其原因可能是“配置錯(cuò)誤的S3存儲(chǔ)桶”,,并直接聯(lián)系MakerBot表達(dá)了他們的擔(dān)憂。
Hunt在Twitter上的呼吁.png (52.49 KB, 下載次數(shù): 61)
下載附件
2021-10-15 21:44 上傳
△Hunt在Twitter上的呼吁
然而MakerBot并未對(duì)他們的警告有所行動(dòng),,因此,pompompurin和他的網(wǎng)絡(luò)朋友將數(shù)據(jù)發(fā)布在一個(gè)黑客論壇上。此后,,pompompurin,、ISMG和Hunt都就數(shù)據(jù)泄露一事聯(lián)系了MakerBot,但很長(zhǎng)一段時(shí)間都未能得到回應(yīng),。
作為域監(jiān)控服務(wù)的一部分,,Have I been Pwned向Thingiverse用戶發(fā)送的通知。.png (370.32 KB, 下載次數(shù): 64)
下載附件
2021-10-15 21:44 上傳
△作為域監(jiān)控服務(wù)的一部分,,HaveI been Pwned向Thingiverse用戶發(fā)送的通知,。
最新動(dòng)態(tài):Thingiverse的回應(yīng)
在2021年10月15日,,Thingiverse終于針對(duì)此事連發(fā)了兩條聲明:
“我們知道并解決了一個(gè)內(nèi)部錯(cuò)誤,,這錯(cuò)誤導(dǎo)致Thingiverse上的一些非敏感用戶數(shù)據(jù)被泄露。我們向受影響的用戶發(fā)出通知,,并鼓勵(lì)您更新Thingiverse帳戶的密碼,。對(duì)于給您帶來(lái)的不便,我們深表歉意,�,!�
“為了澄清起見(jiàn),此次曝光影響了少數(shù)(少于500個(gè))真實(shí)用戶數(shù)據(jù),。非生產(chǎn),、非敏感數(shù)據(jù)包括加密密碼(隨機(jī)加鹽),主要是測(cè)試數(shù)據(jù),。已通知受影響的用戶,。”
Thingiverse回復(fù)1.png (32.57 KB, 下載次數(shù): 67)
下載附件
2021-10-15 21:44 上傳
Thingiverse回復(fù)2.png (29.06 KB, 下載次數(shù): 59)
下載附件
2021-10-15 21:44 上傳
△Thingiverse的回應(yīng)
另外,,Makerbot的一位發(fā)言人還提供了以下評(píng)論:“我們沒(méi)有發(fā)現(xiàn)任何訪問(wèn) Thingiverse帳戶的可疑企圖,,并鼓勵(lì)相關(guān)Thingiverse成員更新他們的密碼作為預(yù)防措施。我們對(duì)此事件深表歉意,,并對(duì)給用戶帶來(lái)的不便表示歉意,。我們致力于通過(guò)透明度和嚴(yán)格的安全管理來(lái)保護(hù)我們寶貴的利益相關(guān)者和資產(chǎn)�,!�
信息安全危機(jī)
信息安全之爭(zhēng)已經(jīng)逐漸成為了一場(chǎng)看不見(jiàn)的“戰(zhàn)爭(zhēng)”,。而本次的泄露事件可能是3D打印歷史上最大的黑客攻擊事件,但絕不會(huì)是最后一次,。
您或許會(huì)認(rèn)為暴露了很少使用的Thingiverse密碼沒(méi)什么大不了的,,但它可能比您想象的要重要得多�,?紤]到很多人對(duì)于不同繁瑣密碼在記憶方面的困難,,許多人依然會(huì)在不同網(wǎng)站上使用相同的密碼。因此,一旦黑客獲得了您的ID和有效密碼,,他們只需在任何其他服務(wù)上嘗試它就可以輕松使用你的賬戶,,這一種方法被叫做“撞庫(kù)”。
為什么Thingiverse選擇將密碼以可解密的方式存儲(chǔ),?我不知道,。但是寬泛的安全配置,確實(shí)會(huì)導(dǎo)致數(shù)據(jù)暴露,,使密碼變得更加容易被破解,。MakerBot或許應(yīng)該以更好的方式加密密碼,但為了保護(hù)個(gè)人賬戶,,南極熊依然建議用戶更改密碼,,并盡量不要在不同網(wǎng)站使用相同的密碼。另外,,有些網(wǎng)站或者服務(wù)會(huì)使用雙重認(rèn)證,,進(jìn)一步增加密碼的保密性,Thingiverse或許可以選擇用類似方式進(jìn)一步加固網(wǎng)站的安全性,。
參考閱讀:
收藏
轉(zhuǎn)播
支持
反對(duì)
京公網(wǎng)安備11010802043351