數(shù)字3D模型庫 Thingiverse 遭受了大規(guī)模數(shù)據(jù)泄露,其中大約 228,000 名訂閱者的個人信息已在線公開。
據(jù)稱,該 36 GB 數(shù)據(jù)緩存最初于 2020 年 10 月泄露,其中包含可被用作識別用戶身份的唯一電子郵件地址和其他信息。雖然這些細(xì)節(jié)已經(jīng)在網(wǎng)上流傳了一年多,但數(shù)據(jù)泄露通知服務(wù)提供商“Have I Being Pwned”現(xiàn)在發(fā)現(xiàn)證據(jù)表明它“在黑客社區(qū)中廣泛流傳”。
Makerbot 的一位發(fā)言人發(fā)表了以下評論:“我們意識到并解決了一個內(nèi)部人為錯誤,該錯誤導(dǎo)致少數(shù)Thingiverse用戶暴露了一些非敏感用戶數(shù)據(jù)。我們沒有發(fā)現(xiàn)任何訪問Thingiverse 帳戶的可疑企圖,我們鼓勵相關(guān) Thingiverse 成員更新他們的密碼作為預(yù)防措施。我們對此事件深表歉意,并對給用戶帶來的不便表示歉意。我們致力于通過透明度和嚴(yán)格的安全管理來保護(hù)我們寶貴的利益相關(guān)者和資產(chǎn)。”
Thingiverse 由 MakerBot 于 2008 年創(chuàng)立,是創(chuàng)客社區(qū)的一個自稱中心,他們可以在這里自由發(fā)布其他人 3D 打印模型設(shè)計所需的文件。截至 2018 年 10 月,該平臺已擁有超過 200 萬注冊用戶,并促進(jìn)了超過 3.4 億次對象下載,并且在此后的三年中,它的范圍和受歡迎程度持續(xù)增長。
除了為用戶提供至少 160 萬種不同設(shè)計的訪問權(quán)限外,該網(wǎng)站還允許他們通過自定義工具個性化模型,甚至使用 OpenSCAD 從頭開始構(gòu)建自己的模型。該平臺還允許在 GNU General Public 或 Creative Commons 許可下上傳模型,因此它在那些尋求分享和討論他們作品的創(chuàng)意人士中很受歡迎。
然而,Thingiverse 的開放性此前使其容易受到黑客攻擊,2017 年 12 月,該網(wǎng)站評論部分中的一個缺陷允許黑客將其用作挖掘加密貨幣的手段。實際上,該漏洞使犯罪者能夠利用訪問者計算機的 CPU 能力,并重新部署它來執(zhí)行挖掘比特幣等數(shù)字貨幣所需的計算。
當(dāng)時,MakerBot 表示,黑客背后的安全漏洞已經(jīng)得到糾正,因此“Thingiverse 用戶無需擔(dān)心有人劫持他們的東西,也無需采取額外措施來保護(hù)自己的計算機。”該公司補充說,它已禁止違規(guī)者,而“挖掘腳本從未訪問過用戶的私人數(shù)據(jù)”,但在其最新的黑客攻擊中,情況似乎并非如此。
Thingihack II:這次是個人的
Thingiverse 的最新泄密事件已由“我被 Pwned”的創(chuàng)作者特洛伊亨特公布,他在一個流行的黑客論壇上收到了泄露數(shù)據(jù)的警報。從那以后,他一直試圖找出細(xì)節(jié),據(jù)報道告訴網(wǎng)絡(luò)安全情報公司信息安全媒體集團(tuán) (ISMG),其中包含超過 2.55 億行數(shù)據(jù)。
“數(shù)據(jù)集中最早的日期戳似乎可以追溯到大約十年前,但是,我還沒有對其進(jìn)行足夠仔細(xì)的分析,”亨特告訴 ISMG。“有關(guān)于 3D 模型的數(shù)據(jù)可以公開訪問,但也有電子郵件和 IP 地址、用戶名、物理地址和全名。”
根據(jù) Have I Being Pwned 的網(wǎng)站,數(shù)據(jù)緩存本身源自泄露的 Thingiverse 備份,電子郵件地址主要來自 3D 模型上留下的評論。雖然這些電子郵件被理解為以 webdev+ 格式(例如 [username]@makerbot.com)共享,但用戶的姓名、地址和密碼包含在加密友好的未加鹽 SHA-1 或 bcrypt 哈希文件中。
令人擔(dān)憂的是,通過自己對數(shù)據(jù)的調(diào)查,亨特發(fā)現(xiàn)數(shù)據(jù)中存在 bcrypt 密碼哈??梢员砻饔脩舻某錾掌?,但更有希望的是,他仍然沒有發(fā)現(xiàn)任何“純文本”密碼暴露。
Thingiverse 的下一步是什么?
“pompompurin”是一位在 Twitter 和 Keybase 等論壇上活躍的網(wǎng)絡(luò)愛好者,他首先向 Huntiverse 發(fā)出了有關(guān) Thingiverse 數(shù)據(jù)泄露的警報。在 2021 年 10 月 1 日找到信息緩存后,他們最初通過與一位愛好者分享來驗證其有效性,然后確定其原因可能是“配置錯誤的 S3 存儲桶”,并直接聯(lián)系 MakerBot 表達(dá)他們的擔(dān)憂。
對 MakerBot 缺乏行動感到沮喪,pompompurin 的網(wǎng)絡(luò)朋友將數(shù)據(jù)發(fā)布在一個已知的黑客論壇上,為這一舉動辯護(hù)說:“他們應(yīng)該如此魯莽,以至于留下備份公眾。”
盡管到目前為止他的推文還沒有獲得很大的吸引力,但 Twitter 用戶“Rapterron”的回應(yīng)是批評 Thingiverse 是“他見過的最被忽視和仍在使用的平臺”,并打趣說“是時候更改密碼,然后轉(zhuǎn)到其他平臺了。”
文章轉(zhuǎn)載自網(wǎng)事全知道