△Have I Been Pwned发布泄露情况
南极熊了解到,Thingiverse的安全漏洞可能没有最初设想的那么糟糕。根据曾经在Makerbot工作,现在就职于TwoSense的软件工程师TJ Horner( https://tjhorner.dev/)的说法, 他检查了已经在线发布的数据转储文件并了解了相关信息,发现了以下有意思的事情: - 数据实际上来自一个暂存数据库,其中包含Thingiverse创建以来至2018年5月18日的社区活动数据。在这之后创建的数据不在数据转储中。
- 转储中的数据确实包含了2,079,011名用户。
- 自泄漏事件曝光以来,MakerBot表示只有大约500名用户受到影响。但Horner认为这是转储中非MakerBot帐户的数量,其余是内部帐户。
△TJ Horner对于泄露数据的分析
Horner分析了数据内容,认为在2018年5月18日之前Thingiverse的所有真实的、实时的用户生产数据都被泄露,包括包括以下值得注意的选项: - 哈希密码(SHA-1 或bcrypt)
- 物理地址
- 用户之间的DM
- 审核日志
霍纳还警告说: “有了这些泄露的数据,有一种方法可以控制此次泄露中任何用户拥有的每台连接互联网的MakerBot打印机,而用户对此无能为力。为了给MakerBot一个修复它的机会,我还不想详细讨论这个问题。但这真的很糟糕。”
△Thingiverse的回应
截至目前,除了Thingiverse在Twitter上发表的两份声明之外,MakerBot还未就此事发布官方公告。鉴于网站对目前为止的两次数据危机的反应不佳,许多3D打印用户纷纷呼吁离开Thingiverse。一些用户正在删除他们的帐户,而数字艺术家也正在将他们的作品迁移到其他存储库。
△黑客论坛上泄漏的Thingiverse样本数据集(图片来源:raid论坛)
与此同时,对于信息安全问题,南极熊强烈建议您更改密码,并且尽量避免在不同站点使用相同的密码。如果您的电子邮件和密码已经确认从Thingiverse泄露,为避免被有心之人利用,南极熊还强烈建议为您对于关键服务(例如您的银行网站等重要账户)启用双重身份验证。
参考阅读: 1. 警惕:Thingiverse数据泄露?!228,000名订阅者个人数据公开
2. Could This New Data Breach End Thingiverse?
3. More On The Thingiverse Security Breach
4. TJ Horner‘s Twitter
| 
京公网安备11010802043351