警惕：Thingiverse數據泄露？！228,000名訂閱者個人數據公開

導讀：信息技術如今在很大程度上影響著每個人的生活，在3D打印領域也不例外。

南極熊獲悉，2021年10月14日，一則來自haveibeenpwned.com的消息表明數字3D模型存儲庫Thingiverse遭受了大規(guī)模數據泄露，其中大約228,000名訂閱者的個人信息已在線公開。網站報告稱，Thingiverse的數據泄漏相當大，似乎是一個包含超過2.55億行數據的MySQL數據庫。從2020年10月起，共有36GB的文件包含22.8 萬個電子郵件地址和其他信息。數據還包括未加鹽SHA-1或bcrypt哈希存儲的用戶名、IP地址、全名和密碼。某些情況下，物理地址似乎也被暴露了。

△HaveI Been Pwned發(fā)布泄露情況

MakerBot的開放模型平臺

Thingiverse由MakerBot于2008年創(chuàng)立，是一個創(chuàng)客社區(qū)，他們可以在這里自由發(fā)布3D打印模型以及相關文件。截至2018年10月，平臺的注冊用戶已超過200萬，并促進了超3.4億的下載，并且在此后的三年中，它的規(guī)模和受歡迎程度持續(xù)增長。

△Thingiverse網站截圖

除了為用戶提供至少160萬種不同設計的訪問權限外，網站還允許他們通過自定義工具個性化模型，甚至使用OpenSCAD從頭開始​​構建自己的模型。平臺還允許在GNUGeneral Public或Creative Commons的許可下上傳模型，因此，在那些尋求分享和討論他們作品的創(chuàng)意人士中很受歡迎。

然而，Thingiverse的開放性使其容易受到黑客攻擊。2017年12月，網站評論部分中的一個缺陷使黑客將其用作挖掘加密貨幣的手段。實際上，漏洞使犯罪者能夠利用訪問者計算機的CPU能力執(zhí)行挖掘比特幣等數字貨幣所需的計算。當時，MakerBot表示，黑客背后的安全漏洞已經得到糾正，因此“Thingiverse用戶無需擔心有人劫持他們的東西，也無需采取額外措施來保護自己的計算機?！边@家公司還補充說，它已阻止違規(guī)者，而“挖掘腳本從未訪問過用戶的私人數據”，但在最新的黑客攻擊中，情況似乎并非如此。

第二次黑客攻擊

Thingiverse最新的泄密事件由“Have I Being Pwned”的創(chuàng)作者Troy Hunt公布，他在一個流行的黑客論壇上收到了數據泄露的警報。從那以后，他一直試圖找出細節(jié)，并告訴網絡安全情報公司信息安全媒體集團(ISMG)。

△黑客論壇上泄漏的Thingiverse樣本數據集（圖片來源：raid論壇)

“數據集中最早的日期似乎可以追溯到大約十年前，但是，我還沒有對其進行足夠仔細的分析”這是Hunt告訴ISMG的話。“有關于可以公開訪問的3D模型數據，但也有電子郵件和IP地址、用戶名、物理地址和全名?！?/div>

根據Have I Being Pwned網站分析，數據緩存本身源自泄露的Thingiverse備份，電子郵件地址主要來自3D模型上留下的評論。雖然這些電子郵件以webdev+格式（例如[username]@makerbot.com）共享，但未加鹽SHA-1或bcrypt哈希文件在內的用戶姓名、地址和密碼也被包含其中。

△圖片來源：haveibeenpwned.com

令人擔憂的是，通過對數據的調查，Hunt發(fā)現(xiàn)數據中bcrypt密碼哈?？梢员砻饔脩舻某錾掌冢容^幸運的是，他仍然沒有發(fā)現(xiàn)任何以“純文本”形式的密碼暴露。

緊急通知Thingiverse

Thingiverse的數據泄露時間最初是由一個名叫'pompompurin'的研究人員和網絡愛好者發(fā)現(xiàn)，'pompompurin'在Twitter和Keybase等論壇上有一定的知名度。在2021年10月1日找到信息緩存后，他們通過驗證證明了它的有效性，然后確定其原因可能是“配置錯誤的S3存儲桶”，并直接聯(lián)系MakerBot表達了他們的擔憂。

△Hunt在Twitter上的呼吁

然而MakerBot并未對他們的警告有所行動，因此，pompompurin和他的網絡朋友將數據發(fā)布在一個黑客論壇上。此后，pompompurin、ISMG和Hunt都就數據泄露一事聯(lián)系了MakerBot，但很長一段時間都未能得到回應。

△作為域監(jiān)控服務的一部分，HaveI been Pwned向Thingiverse用戶發(fā)送的通知。

擔心自己賬戶信息的小伙伴們可以通過Have I Being Pwned網站檢查自己的賬號是否被泄露：https://haveibeenpwned.com/。

最新動態(tài)：Thingiverse的回應

在2021年10月15日，Thingiverse終于針對此事連發(fā)了兩條聲明：

“我們知道并解決了一個內部錯誤，這錯誤導致Thingiverse上的一些非敏感用戶數據被泄露。我們向受影響的用戶發(fā)出通知，并鼓勵您更新Thingiverse帳戶的密碼。對于給您帶來的不便，我們深表歉意?！?/div>

“為了澄清起見，此次曝光影響了少數（少于500個）真實用戶數據。非生產、非敏感數據包括加密密碼（隨機加鹽），主要是測試數據。已通知受影響的用戶?！?/div>

△Thingiverse的回應

另外，Makerbot的一位發(fā)言人還提供了以下評論：“我們沒有發(fā)現(xiàn)任何訪問​ Thingiverse帳戶的可疑企圖，并鼓勵相關Thingiverse成員更新他們的密碼作為預防措施。我們對此事件深表歉意，并對給用戶帶來的不便表示歉意。我們致力于通過透明度和嚴格的安全管理來保護我們寶貴的利益相關者和資產?！?/div>

信息安全危機

信息安全之爭已經逐漸成為了一場看不見的“戰(zhàn)爭”。而本次的泄露事件可能是3D打印歷史上最大的黑客攻擊事件，但絕不會是最后一次。

您或許會認為暴露了很少使用的Thingiverse密碼沒什么大不了的，但它可能比您想象的要重要得多。考慮到很多人對于不同繁瑣密碼在記憶方面的困難，許多人依然會在不同網站上使用相同的密碼。因此，一旦黑客獲得了您的ID和有效密碼，他們只需在任何其他服務上嘗試它就可以輕松使用你的賬戶，這一種方法被叫做“撞庫”。

為什么Thingiverse選擇將密碼以可解密的方式存儲？我不知道。但是寬泛的安全配置，確實會導致數據暴露，使密碼變得更加容易被破解。MakerBot或許應該以更好的方式加密密碼，但為了保護個人賬戶，南極熊依然建議用戶更改密碼，并盡量不要在不同網站使用相同的密碼。另外，有些網站或者服務會使用雙重認證，進一步增加密碼的保密性，Thingiverse或許可以選擇用類似方式進一步加固網站的安全性。

參考閱讀：

1. Thingiverse Data Leak Affects 228,000 Subscribers

2. Change Your Passwords: Thingiverse Hacked!

3. Check if your email or phone is in a data breach

4. CONFIRMED: PERSONAL DATA OF 228,000 SUBSCRIBERS LEAKED INTHINGIVERSE BREACH