近日，資源庫(kù)獲悉，目前世界上最大的3D打印模型庫(kù)Thingiverse遭受了大規(guī)模數(shù)據(jù)泄露，其中大約228,000 名訂閱者的個(gè)人信息包括用戶的電子郵件地址、IP 地址、用戶名、居住地址等信息被泄露并且在國(guó)外流行的黑客論壇上的流通。

據(jù)稱，該36GB 數(shù)據(jù)緩存最初于2020年10月泄露，其中包含可被用作識(shí)別用戶身份的唯一電子郵件地址和其他信息。Have I Being Pwned數(shù)據(jù)泄露通知服務(wù)的創(chuàng)建者 Troy Hunt 證實(shí)，泄露的數(shù)據(jù)似乎是一個(gè)包含超過(guò)2.55億行數(shù)據(jù)的MySQL數(shù)據(jù)庫(kù)。“數(shù)據(jù)集中最早的日期戳似乎可以追溯到大約十年前，但是，我還沒(méi)有對(duì)其進(jìn)行足夠仔細(xì)的分析，”Hunt說(shuō)。

Makerbot 的一位發(fā)言人發(fā)表了以下評(píng)論：“我們意識(shí)到并解決了一個(gè)內(nèi)部人為錯(cuò)誤，該錯(cuò)誤導(dǎo)致少數(shù)Thingiverse用戶暴露了一些非敏感用戶數(shù)據(jù)。我們沒(méi)有發(fā)現(xiàn)任何訪問(wèn)Thingiverse 帳戶的可疑企圖，我們鼓勵(lì)相關(guān) Thingiverse 成員更新他們的密碼作為預(yù)防措施。我們對(duì)此事件深表歉意，并對(duì)給用戶帶來(lái)的不便表示歉意。我們致力于通過(guò)透明度和嚴(yán)格的安全管理來(lái)保護(hù)我們寶貴的利益相關(guān)者和資產(chǎn)?！?br />
但相關(guān)人員最近發(fā)現(xiàn)，這起泄露事件還可能導(dǎo)致約5萬(wàn)臺(tái)打印機(jī)被劫持。曾在Thingiverse母公司MakerBot工作過(guò)的軟件工程師TJ Horner表示，此次泄露的數(shù)據(jù)中包括一些OAuth令牌，這些令牌可用于遠(yuǎn)程訪問(wèn)MakerBot第5代甚至更高版本的3D打印機(jī)，并調(diào)用打印機(jī)上的攝像頭對(duì)其實(shí)行監(jiān)視。

Horner使用泄露的OAuth令牌監(jiān)視自己的MakerBot METHOD X 打印機(jī)

Horner認(rèn)為，如果打印機(jī)連接到互聯(lián)網(wǎng)，任何擁有這些令牌的人都可以完全控制打印機(jī)，攻擊者可能會(huì)向 3D 打印機(jī)發(fā)送錯(cuò)誤的示意圖，并損壞打印機(jī)的步進(jìn)電機(jī)，此外，這些泄露的令牌還能讓攻擊者訪問(wèn)Thingiverse用戶的賬戶信息。

Horner列出了受影響的打印機(jī)機(jī)型，包括 Replicator 5th Gen、Replicator Mini、Replicator Z18、Replicator+、Replicator Mini+、所有METHOD系列打印機(jī)和MakerBot Sketch。

MakerBot在此次事件中沒(méi)有公開提及有關(guān)打印機(jī)的令牌泄露，但已對(duì)相關(guān)令牌進(jìn)行作廢處理。

面對(duì)這起泄露事件，MakerBot曾聲明，只有不到500名用戶受到數(shù)據(jù)泄露的影響，并強(qiáng)調(diào)泄露的只包括主要用于測(cè)試數(shù)據(jù)的非生產(chǎn)、非敏感數(shù)據(jù)。它還堅(jiān)持已通知受影響的用戶。

但這項(xiàng)聲明并未得到Horner以及數(shù)據(jù)泄露通知網(wǎng)站（Have I Been Pwned）創(chuàng)建者Troy Hunt的認(rèn)可，并對(duì)數(shù)據(jù)產(chǎn)生質(zhì)疑。Hunt向已被泄露的用戶發(fā)送了超1萬(wàn)郵件，確認(rèn)他們是不是Thingiverse用戶，到目前為止均收到了肯定的回復(fù)。

近日，資源庫(kù)獲悉，目前世界上最大的3D打印模型庫(kù)Thingiverse遭受了大規(guī)模數(shù)據(jù)泄露，其中大約228,000 名訂閱者的個(gè)人信息包括用戶的電子郵件地址、IP 地址、用戶名、居住地址等信息被泄露并且在國(guó)外流行的黑客論壇上的流通。

據(jù)稱，該36GB 數(shù)據(jù)緩存最初于2020年10月泄露，其中包含可被用作識(shí)別用戶身份的唯一電子郵件地址和其他信息。Have I Being Pwned數(shù)據(jù)泄露通知服務(wù)的創(chuàng)建者 Troy Hunt 證實(shí)，泄露的數(shù)據(jù)似乎是一個(gè)包含超過(guò)2.55億行數(shù)據(jù)的MySQL數(shù)據(jù)庫(kù)。“數(shù)據(jù)集中最早的日期戳似乎可以追溯到大約十年前，但是，我還沒(méi)有對(duì)其進(jìn)行足夠仔細(xì)的分析，”Hunt說(shuō)。

Makerbot 的一位發(fā)言人發(fā)表了以下評(píng)論：“我們意識(shí)到并解決了一個(gè)內(nèi)部人為錯(cuò)誤，該錯(cuò)誤導(dǎo)致少數(shù)Thingiverse用戶暴露了一些非敏感用戶數(shù)據(jù)。我們沒(méi)有發(fā)現(xiàn)任何訪問(wèn)Thingiverse 帳戶的可疑企圖，我們鼓勵(lì)相關(guān) Thingiverse 成員更新他們的密碼作為預(yù)防措施。我們對(duì)此事件深表歉意，并對(duì)給用戶帶來(lái)的不便表示歉意。我們致力于通過(guò)透明度和嚴(yán)格的安全管理來(lái)保護(hù)我們寶貴的利益相關(guān)者和資產(chǎn)?！?br />
但相關(guān)人員最近發(fā)現(xiàn)，這起泄露事件還可能導(dǎo)致約5萬(wàn)臺(tái)打印機(jī)被劫持。曾在Thingiverse母公司MakerBot工作過(guò)的軟件工程師TJ Horner表示，此次泄露的數(shù)據(jù)中包括一些OAuth令牌，這些令牌可用于遠(yuǎn)程訪問(wèn)MakerBot第5代甚至更高版本的3D打印機(jī)，并調(diào)用打印機(jī)上的攝像頭對(duì)其實(shí)行監(jiān)視。

Horner使用泄露的OAuth令牌監(jiān)視自己的MakerBot METHOD X 打印機(jī)

Horner認(rèn)為，如果打印機(jī)連接到互聯(lián)網(wǎng)，任何擁有這些令牌的人都可以完全控制打印機(jī)，攻擊者可能會(huì)向 3D 打印機(jī)發(fā)送錯(cuò)誤的示意圖，并損壞打印機(jī)的步進(jìn)電機(jī)，此外，這些泄露的令牌還能讓攻擊者訪問(wèn)Thingiverse用戶的賬戶信息。

Horner列出了受影響的打印機(jī)機(jī)型，包括 Replicator 5th Gen、Replicator Mini、Replicator Z18、Replicator+、Replicator Mini+、所有METHOD系列打印機(jī)和MakerBot Sketch。

MakerBot在此次事件中沒(méi)有公開提及有關(guān)打印機(jī)的令牌泄露，但已對(duì)相關(guān)令牌進(jìn)行作廢處理。

面對(duì)這起泄露事件，MakerBot曾聲明，只有不到500名用戶受到數(shù)據(jù)泄露的影響，并強(qiáng)調(diào)泄露的只包括主要用于測(cè)試數(shù)據(jù)的非生產(chǎn)、非敏感數(shù)據(jù)。它還堅(jiān)持已通知受影響的用戶。

但這項(xiàng)聲明并未得到Horner以及數(shù)據(jù)泄露通知網(wǎng)站（Have I Been Pwned）創(chuàng)建者Troy Hunt的認(rèn)可，并對(duì)數(shù)據(jù)產(chǎn)生質(zhì)疑。Hunt向已被泄露的用戶發(fā)送了超1萬(wàn)郵件，確認(rèn)他們是不是Thingiverse用戶，到目前為止均收到了肯定的回復(fù)。