3D打印模型平台或超20万人数据泄露？Thingiverse用户数达200万

　　南极熊获悉，2021年10月14日，一则来自消息表明数字3D模型存储库Thingiverse遭受了大规模数据泄露，其中大约228,000名订阅者的个人信息已在线公开。网站报告称，Thingiverse的数据泄漏相当大，似乎是一个包含超过2.55亿行数据的MySQL数据库。从2020年10月起，共有36GB的文件包含22.8 万个电子邮件地址和其他信息。数据还包括未加盐SHA-1或bcrypt哈希存储的用户名、IP地址、全名和密码。某些情况下，物理地址似乎也被暴露了。

　　Thingiverse由MakerBot于2008年创立，是一个创客社区，他们可以在这里自由发布3D打印模型以及相关文件。截至2018年10月，平台的注册用户已超过200万，并促进了超3.4亿的下载，并且在此后的三年中，它的规模和受欢迎程度持续增长。

　　除了为用户提供至少160万种不同设计的访问权限外，网站还允许他们通过自定义工具个性化模型，甚至使用OpenSCAD从头开始构建自己的模型。平台还允许在GNUGeneral Public或Creative Commons的许可下上传模型，因此，在那些寻求分享和讨论他们作品的创意人士中很受欢迎。

　　然而，Thingiverse的开放性使其容易受到黑客攻击。2017年12月，网站评论部分中的一个缺陷使黑客将其用作挖掘加密货币的手段。实际上，漏洞使犯罪者能够利用访问者计算机的CPU能力执行挖掘比特币等数字货币所需的计算。当时，MakerBot表示，黑客背后的安全漏洞已经得到纠正，因此“Thingiverse用户无需担心有人劫持他们的东西，也无需采取额外措施来保护自己的计算机。”这家公司还补充说，它已阻止违规者，而“挖掘脚本从未访问过用户的私人数据”，但在最新的黑客攻击中，情况似乎并非如此。

　　Thingiverse最新的泄密事件由“Have I BeingPwned”的创作者Troy Hunt公布，他在一个流行的黑客论坛上收到了数据泄露的警报。从那以后，他一直试图找出细节，并告诉网络安全情报公司信息安全媒体集团(ISMG)。

　　“数据集中最早的日期似乎可以追溯到大约十年前，但是，我还没有对其进行足够仔细的分析”这是Hunt告诉ISMG的话。“有关于可以公开访问的3D模型数据，但也有电子邮件和IP地址、用户名、物理地址和全名。”

　　根据Have I Being Pwned网站分析，数据缓存本身源自泄露的Thingiverse备份，电子邮件地址主要来自3D模型上留下的评论。虽然这些电子邮件以webdev+格式（例如）共享，但未加盐SHA-1或bcrypt哈希文件在内的用户姓名、地址和密码也被包含其中。

　　令人担忧的是，通过对数据的调查，Hunt发现数据中bcrypt密码哈希可以表明用户的出生日期，但比较幸运的是，他仍然没有发现任何以“纯文本”形式的密码暴露。

　　Thingiverse的数据泄露时间最初是由一个名叫pompompurin的研究人员和网络爱好者发现，pompompurin在Twitter和Keybase等论坛上有一定的知名度。在2021年10月1日找到信息缓存后，他们通过验证证明了它的有效性，然后确定其原因可能是“配置错误的S3存储桶”，并直接联系MakerBot表达了他们的担忧。

　　然而MakerBot并未对他们的警告有所行动，因此，pompompurin和他的网络朋友将数据发布在一个黑客论坛上。此后，pompompurin、ISMG和Hunt都就数据泄露一事联系了MakerBot，但很长一段时间都未能得到回应。

　　担心自己账户信息的小伙伴们可以通过Have I Being Pwned网站检查自己的账号是否被泄露：。

　　“我们知道并解决了一个内部错误，这错误导致Thingiverse上的一些非敏感用户数据被泄露。我们向受影响的用户发出通知，并鼓励您更新Thingiverse帐户的密码。对于给您带来的不便，我们深表歉意。”

　　“为了澄清起见，此次曝光影响了少数（少于500个）真实用户数据。非生产、非敏感数据包括加密密码（随机加盐），主要是测试数据。已通知受影响的用户。”

　　另外，Makerbot的一位发言人还提供了以下评论：“我们没有发现任何访问 Thingiverse帐户的可疑企图，并鼓励相关Thingiverse成员更新他们的密码作为预防措施。我们对此事件深表歉意，并对给用户带来的不便表示歉意。我们致力于通过透明度和严格的安全管理来保护我们宝贵的利益相关者和资产。”

　　信息安全之争已经逐渐成为了一场看不见的“战争”。而本次的泄露事件可能是3D打印历史上最大的黑客攻击事件，但绝不会是最后一次。

　　您或许会认为暴露了很少使用的Thingiverse密码没什么大不了的，但它可能比您想象的要重要得多。考虑到很多人对于不同繁琐密码在记忆方面的困难，许多人依然会在不同网站上使用相同的密码。因此，一旦黑客获得了您的ID和有效密码，他们只需在任何其他服务上尝试它就可以轻松使用你的账户，这一种方法被叫做“撞库”。

　　为什么Thingiverse选择将密码以可解密的方式存储？我不知道。但是宽泛的安全配置，确实会导致数据暴露，使密码变得更加容易被破解。MakerBot或许应该以更好的方式加密密码，但为了保护个人账户，南极熊依然建议用户更改密码，并尽量不要在不同网站使用相同的密码。另外，有些网站或者服务会使用双重认证，进一步增加密码的保密性，Thingiverse或许可以选择用类似方式进一步加固网站的安全性。