22.8萬人信息泄露，3D模型庫Thingiverse安全漏洞的后續(xù)信息

導讀：2021年10月14日，一則來自HaveIBeenPwned.com網站的消息表明，Makerbot的3D建模型社區(qū)Thingiverse的數據庫遭到泄露，約22.8萬名訂閱者的個人數據（包括電子郵件地址以及輕度加密的密碼）被公開，南極熊對此事的后續(xù)進行了關注。

△Have I Been Pwned發(fā)布泄露情況

南極熊了解到，Thingiverse的安全漏洞可能沒有最初設想的那么糟糕。根據曾經在Makerbot工作，現(xiàn)在就職于TwoSense的軟件工程師TJ Horner（https://tjhorner.dev/）的說法， 他檢查了已經在線發(fā)布的數據轉儲文件并了解了相關信息，發(fā)現(xiàn)了以下有意思的事情：

• 數據實際上來自一個暫存數據庫，其中包含Thingiverse創(chuàng)建以來至2018年5月18日的社區(qū)活動數據。在這之后創(chuàng)建的數據不在數據轉儲中。
• 轉儲中的數據確實包含了2,079,011名用戶。
• 自泄漏事件曝光以來，MakerBot表示只有大約500名用戶受到影響。但Horner認為這是轉儲中非MakerBot帳戶的數量，其余是內部帳戶。
  

△TJ Horner對于泄露數據的分析

Horner分析了數據內容，認為在2018年5月18日之前Thingiverse的所有真實的、實時的用戶生產數據都被泄露，包括包括以下值得注意的選項：

• 哈希密碼（SHA-1 或bcrypt）
• 物理地址
• 用戶之間的DM
• 審核日志
  

霍納還警告說：

“有了這些泄露的數據，有一種方法可以控制此次泄露中任何用戶擁有的每臺連接互聯(lián)網的MakerBot打印機，而用戶對此無能為力。為了給MakerBot一個修復它的機會，我還不想詳細討論這個問題。但這真的很糟糕。”

△Thingiverse的回應

截至目前，除了Thingiverse在Twitter上發(fā)表的兩份聲明之外，MakerBot還未就此事發(fā)布官方公告。鑒于網站對目前為止的兩次數據危機的反應不佳，許多3D打印用戶紛紛呼吁離開Thingiverse。一些用戶正在刪除他們的帳戶，而數字藝術家也正在將他們的作品遷移到其他存儲庫。

△黑客論壇上泄漏的Thingiverse樣本數據集（圖片來源：raid論壇)

與此同時，對于信息安全問題，南極熊強烈建議您更改密碼，并且盡量避免在不同站點使用相同的密碼。如果您的電子郵件和密碼已經確認從Thingiverse泄露，為避免被有心之人利用，南極熊還強烈建議為您對于關鍵服務（例如您的銀行網站等重要賬戶）啟用雙重身份驗證。

參考閱讀：

1. 警惕：Thingiverse數據泄露？！228,000名訂閱者個人數據公開
2. Could This New Data Breach End Thingiverse?
3. More On The Thingiverse Security Breach
4. TJ Horner‘s Twitter