△HaveI Been Pwned發(fā)布泄露情況.png (272.01 KB, 下載次數(shù): 64)
下載附件
2021-10-17 09:40 上傳
△Have I Been Pwned發(fā)布泄露情況
南極熊了解到,,Thingiverse的安全漏洞可能沒有最初設(shè)想的那么糟糕,。根據(jù)曾經(jīng)在Makerbot工作,現(xiàn)在就職于TwoSense的軟件工程師TJ Horner( https://tjhorner.dev/)的說法,, 他檢查了已經(jīng)在線發(fā)布的數(shù)據(jù)轉(zhuǎn)儲文件并了解了相關(guān)信息,,發(fā)現(xiàn)了以下有意思的事情: - 數(shù)據(jù)實(shí)際上來自一個(gè)暫存數(shù)據(jù)庫,其中包含Thingiverse創(chuàng)建以來至2018年5月18日的社區(qū)活動數(shù)據(jù),。在這之后創(chuàng)建的數(shù)據(jù)不在數(shù)據(jù)轉(zhuǎn)儲中,。
- 轉(zhuǎn)儲中的數(shù)據(jù)確實(shí)包含了2,079,011名用戶。
- 自泄漏事件曝光以來,,MakerBot表示只有大約500名用戶受到影響,。但Horner認(rèn)為這是轉(zhuǎn)儲中非MakerBot帳戶的數(shù)量,其余是內(nèi)部帳戶,。
FireShot Capture 351 - (19) 在 Twitter_ _I was curious about this claim so I do.png (206.03 KB, 下載次數(shù): 62)
下載附件
2021-10-17 09:40 上傳
△TJ Horner對于泄露數(shù)據(jù)的分析
Horner分析了數(shù)據(jù)內(nèi)容,,認(rèn)為在2018年5月18日之前Thingiverse的所有真實(shí)的、實(shí)時(shí)的用戶生產(chǎn)數(shù)據(jù)都被泄露,,包括包括以下值得注意的選項(xiàng): - 哈希密碼(SHA-1 或bcrypt)
- 物理地址
- 用戶之間的DM
- 審核日志
霍納還警告說: “有了這些泄露的數(shù)據(jù),,有一種方法可以控制此次泄露中任何用戶擁有的每臺連接互聯(lián)網(wǎng)的MakerBot打印機(jī),,而用戶對此無能為力,。為了給MakerBot一個(gè)修復(fù)它的機(jī)會,我還不想詳細(xì)討論這個(gè)問題,。但這真的很糟糕,。”
△Thingiverse的回應(yīng).png (83.58 KB, 下載次數(shù): 60)
下載附件
2021-10-17 09:40 上傳
△Thingiverse的回應(yīng)
截至目前,,除了Thingiverse在Twitter上發(fā)表的兩份聲明之外,,MakerBot還未就此事發(fā)布官方公告。鑒于網(wǎng)站對目前為止的兩次數(shù)據(jù)危機(jī)的反應(yīng)不佳,,許多3D打印用戶紛紛呼吁離開Thingiverse,。一些用戶正在刪除他們的帳戶,而數(shù)字藝術(shù)家也正在將他們的作品遷移到其他存儲庫,。
△黑客論壇上泄漏的Thingiverse樣本數(shù)據(jù)集(圖片來源:raid論壇).jpg (56.45 KB, 下載次數(shù): 74)
下載附件
2021-10-17 09:40 上傳
△黑客論壇上泄漏的Thingiverse樣本數(shù)據(jù)集(圖片來源:raid論壇)
與此同時(shí),,對于信息安全問題,,南極熊強(qiáng)烈建議您更改密碼,并且盡量避免在不同站點(diǎn)使用相同的密碼,。如果您的電子郵件和密碼已經(jīng)確認(rèn)從Thingiverse泄露,,為避免被有心之人利用,南極熊還強(qiáng)烈建議為您對于關(guān)鍵服務(wù)(例如您的銀行網(wǎng)站等重要賬戶)啟用雙重身份驗(yàn)證,。
參考閱讀: 1. 警惕:Thingiverse數(shù)據(jù)泄露,?!228,000名訂閱者個(gè)人數(shù)據(jù)公開
2. Could This New Data Breach End Thingiverse?
3. More On The Thingiverse Security Breach
4. TJ Horner‘s Twitter
| 
收藏
轉(zhuǎn)播
支持
反對
京公網(wǎng)安備11010802043351