警惕：Thingiverse數(shù)據(jù)泄露？！228,000名訂閱者個(gè)人數(shù)據(jù)公開(kāi)

導(dǎo)讀：信息技術(shù)如今在很大程度上影響著每個(gè)人的生活，在3D打印領(lǐng)域也不例外。

南極熊獲悉，2021年10月14日，一則來(lái)自haveibeenpwned.com的消息表明數(shù)字3D模型存儲(chǔ)庫(kù)Thingiverse遭受了大規(guī)模數(shù)據(jù)泄露，其中大約228,000名訂閱者的個(gè)人信息已在線公開(kāi)。網(wǎng)站報(bào)告稱(chēng)，Thingiverse的數(shù)據(jù)泄漏相當(dāng)大，似乎是一個(gè)包含超過(guò)2.55億行數(shù)據(jù)的MySQL數(shù)據(jù)庫(kù)。從2020年10月起，共有36GB的文件包含22.8 萬(wàn)個(gè)電子郵件地址和其他信息。數(shù)據(jù)還包括未加鹽SHA-1或bcrypt哈希存儲(chǔ)的用戶名、IP地址、全名和密碼。某些情況下，物理地址似乎也被暴露了。

△HaveI Been Pwned發(fā)布泄露情況

MakerBot的開(kāi)放模型平臺(tái)

Thingiverse由MakerBot于2008年創(chuàng)立，是一個(gè)創(chuàng)客社區(qū)，他們可以在這里自由發(fā)布3D打印模型以及相關(guān)文件。截至2018年10月，平臺(tái)的注冊(cè)用戶已超過(guò)200萬(wàn)，并促進(jìn)了超3.4億的下載，并且在此后的三年中，它的規(guī)模和受歡迎程度持續(xù)增長(zhǎng)。

△Thingiverse網(wǎng)站截圖

除了為用戶提供至少160萬(wàn)種不同設(shè)計(jì)的訪問(wèn)權(quán)限外，網(wǎng)站還允許他們通過(guò)自定義工具個(gè)性化模型，甚至使用OpenSCAD從頭開(kāi)始​​構(gòu)建自己的模型。平臺(tái)還允許在GNUGeneral Public或Creative Commons的許可下上傳模型，因此，在那些尋求分享和討論他們作品的創(chuàng)意人士中很受歡迎。

然而，Thingiverse的開(kāi)放性使其容易受到黑客攻擊。2017年12月，網(wǎng)站評(píng)論部分中的一個(gè)缺陷使黑客將其用作挖掘加密貨幣的手段。實(shí)際上，漏洞使犯罪者能夠利用訪問(wèn)者計(jì)算機(jī)的CPU能力執(zhí)行挖掘比特幣等數(shù)字貨幣所需的計(jì)算。當(dāng)時(shí)，MakerBot表示，黑客背后的安全漏洞已經(jīng)得到糾正，因此“Thingiverse用戶無(wú)需擔(dān)心有人劫持他們的東西，也無(wú)需采取額外措施來(lái)保護(hù)自己的計(jì)算機(jī)?！边@家公司還補(bǔ)充說(shuō)，它已阻止違規(guī)者，而“挖掘腳本從未訪問(wèn)過(guò)用戶的私人數(shù)據(jù)”，但在最新的黑客攻擊中，情況似乎并非如此。

第二次黑客攻擊

Thingiverse最新的泄密事件由“Have I Being Pwned”的創(chuàng)作者Troy Hunt公布，他在一個(gè)流行的黑客論壇上收到了數(shù)據(jù)泄露的警報(bào)。從那以后，他一直試圖找出細(xì)節(jié)，并告訴網(wǎng)絡(luò)安全情報(bào)公司信息安全媒體集團(tuán)(ISMG)。

△黑客論壇上泄漏的Thingiverse樣本數(shù)據(jù)集（圖片來(lái)源：raid論壇)

“數(shù)據(jù)集中最早的日期似乎可以追溯到大約十年前，但是，我還沒(méi)有對(duì)其進(jìn)行足夠仔細(xì)的分析”這是Hunt告訴ISMG的話?！坝嘘P(guān)于可以公開(kāi)訪問(wèn)的3D模型數(shù)據(jù)，但也有電子郵件和IP地址、用戶名、物理地址和全名?！?/div>

根據(jù)Have I Being Pwned網(wǎng)站分析，數(shù)據(jù)緩存本身源自泄露的Thingiverse備份，電子郵件地址主要來(lái)自3D模型上留下的評(píng)論。雖然這些電子郵件以webdev+格式（例如[username]@makerbot.com）共享，但未加鹽SHA-1或bcrypt哈希文件在內(nèi)的用戶姓名、地址和密碼也被包含其中。

△圖片來(lái)源：haveibeenpwned.com

令人擔(dān)憂的是，通過(guò)對(duì)數(shù)據(jù)的調(diào)查，Hunt發(fā)現(xiàn)數(shù)據(jù)中bcrypt密碼哈?？梢员砻饔脩舻某錾掌?，但比較幸運(yùn)的是，他仍然沒(méi)有發(fā)現(xiàn)任何以“純文本”形式的密碼暴露。

緊急通知Thingiverse

Thingiverse的數(shù)據(jù)泄露時(shí)間最初是由一個(gè)名叫'pompompurin'的研究人員和網(wǎng)絡(luò)愛(ài)好者發(fā)現(xiàn)，'pompompurin'在Twitter和Keybase等論壇上有一定的知名度。在2021年10月1日找到信息緩存后，他們通過(guò)驗(yàn)證證明了它的有效性，然后確定其原因可能是“配置錯(cuò)誤的S3存儲(chǔ)桶”，并直接聯(lián)系MakerBot表達(dá)了他們的擔(dān)憂。

△Hunt在Twitter上的呼吁

然而MakerBot并未對(duì)他們的警告有所行動(dòng)，因此，pompompurin和他的網(wǎng)絡(luò)朋友將數(shù)據(jù)發(fā)布在一個(gè)黑客論壇上。此后，pompompurin、ISMG和Hunt都就數(shù)據(jù)泄露一事聯(lián)系了MakerBot，但很長(zhǎng)一段時(shí)間都未能得到回應(yīng)。

△作為域監(jiān)控服務(wù)的一部分，HaveI been Pwned向Thingiverse用戶發(fā)送的通知。

擔(dān)心自己賬戶信息的小伙伴們可以通過(guò)Have I Being Pwned網(wǎng)站檢查自己的賬號(hào)是否被泄露：https://haveibeenpwned.com/。

最新動(dòng)態(tài)：Thingiverse的回應(yīng)

在2021年10月15日，Thingiverse終于針對(duì)此事連發(fā)了兩條聲明：

“我們知道并解決了一個(gè)內(nèi)部錯(cuò)誤，這錯(cuò)誤導(dǎo)致Thingiverse上的一些非敏感用戶數(shù)據(jù)被泄露。我們向受影響的用戶發(fā)出通知，并鼓勵(lì)您更新Thingiverse帳戶的密碼。對(duì)于給您帶來(lái)的不便，我們深表歉意。”

“為了澄清起見(jiàn)，此次曝光影響了少數(shù)（少于500個(gè)）真實(shí)用戶數(shù)據(jù)。非生產(chǎn)、非敏感數(shù)據(jù)包括加密密碼（隨機(jī)加鹽），主要是測(cè)試數(shù)據(jù)。已通知受影響的用戶?！?/div>

△Thingiverse的回應(yīng)

另外，Makerbot的一位發(fā)言人還提供了以下評(píng)論：“我們沒(méi)有發(fā)現(xiàn)任何訪問(wèn)​ Thingiverse帳戶的可疑企圖，并鼓勵(lì)相關(guān)Thingiverse成員更新他們的密碼作為預(yù)防措施。我們對(duì)此事件深表歉意，并對(duì)給用戶帶來(lái)的不便表示歉意。我們致力于通過(guò)透明度和嚴(yán)格的安全管理來(lái)保護(hù)我們寶貴的利益相關(guān)者和資產(chǎn)?！?/div>

信息安全危機(jī)

信息安全之爭(zhēng)已經(jīng)逐漸成為了一場(chǎng)看不見(jiàn)的“戰(zhàn)爭(zhēng)”。而本次的泄露事件可能是3D打印歷史上最大的黑客攻擊事件，但絕不會(huì)是最后一次。

您或許會(huì)認(rèn)為暴露了很少使用的Thingiverse密碼沒(méi)什么大不了的，但它可能比您想象的要重要得多?？紤]到很多人對(duì)于不同繁瑣密碼在記憶方面的困難，許多人依然會(huì)在不同網(wǎng)站上使用相同的密碼。因此，一旦黑客獲得了您的ID和有效密碼，他們只需在任何其他服務(wù)上嘗試它就可以輕松使用你的賬戶，這一種方法被叫做“撞庫(kù)”。

為什么Thingiverse選擇將密碼以可解密的方式存儲(chǔ)？我不知道。但是寬泛的安全配置，確實(shí)會(huì)導(dǎo)致數(shù)據(jù)暴露，使密碼變得更加容易被破解。MakerBot或許應(yīng)該以更好的方式加密密碼，但為了保護(hù)個(gè)人賬戶，南極熊依然建議用戶更改密碼，并盡量不要在不同網(wǎng)站使用相同的密碼。另外，有些網(wǎng)站或者服務(wù)會(huì)使用雙重認(rèn)證，進(jìn)一步增加密碼的保密性，Thingiverse或許可以選擇用類(lèi)似方式進(jìn)一步加固網(wǎng)站的安全性。

參考閱讀：

1. Thingiverse Data Leak Affects 228,000 Subscribers

2. Change Your Passwords: Thingiverse Hacked!

3. Check if your email or phone is in a data breach

4. CONFIRMED: PERSONAL DATA OF 228,000 SUBSCRIBERS LEAKED INTHINGIVERSE BREACH