Thingiverse 数据泄露影响了 228,000 名订阅者

2024-10-31

据报道，Thingiverse 是一个致力于共享用户创建的数字设计文件的网站，泄露了一个 36GB 的备份文件，其中包含 228,000 个唯一的电子邮件地址和其他个人身份信息，Have I Being Pwned数据泄露通知服务的创建者 Troy Hunt 证实，引用该数据集在流行的黑客论坛上的流通。

Thingiverse 主要提供免费的开源硬件设计，可以根据 GNU 通用公共许可证或知识共享许可证获得许可，并允许贡献者为他们共享的设计选择用户许可证类型 - 使其成为创意艺术家的热门选择。

泄露的数据

在分析了黑客论坛的数据文件后，亨特告诉信息安全媒体集团，备份文件在一年前的 2020 年 10 月 13 日被公开转储，此后一直暴露在外。他补充说，泄露的数据似乎是一个包含超过 2.55 亿行数据的 MySQL 数据库。“数据集中最早的日期戳似乎可以追溯到大约十年前，但是，我还没有对其进行足够仔细的分析，”亨特说。

亨特谈到泄露的数据时说，“有关于 3D 模型的数据可以公开访问，但也有电子邮件和 IP 地址、用户名、物理地址和全名。”

Hunt 说，绝大多数电子邮件地址似乎都是 webdev+[username]@makerbot.com 的形式，他不确定这样做的原因。以下是从数据表中获取的完整记录示例：1[XXXXX]1,'[username]','webdev+[username]@makerbot.com','$2y$10$X26cQ2uz5Uh1EyfIabIpguXHcS7G3uJ1AC8MnvxQ7dlFewq'NULL,WNULL ',0,'','2018-02-19 06:07:43','2018-02-19 05:51:17',0,'cc-sa',1,1,1,1,1 ,1,1,NULL,0,0,0,0,'',0,'AR','制造商/消费者','','1099',0,'199[X]-0[X]- 25 00:00:00',NULL,0,NULL

此外，Hunt 还注意到上述示例中存在 bcrypt 密码哈希，以及暴露的用户的出生日期。

然而，Thingiverse 用户可以轻松一点，因为在此数据集中没有明文密码暴露的迹象。“我目前还没有找到密码，”亨特告诉 ISMG。

ISMG 和 Hunt 都曾多次尝试联系 Thingiverse 的所有者 MakerBot，后者是一家总部位于纽约的 3D 打印机制造公司。该公司尚未作出回应。亨特在 Twitter 上询问是否有人联系过 MakerBot 的安全团队。

有人在@thingiverse 上有安全联系人吗？他们没有回复 DM 或他们的联系表格。我自己经常使用这个网站，所以我*真的*想与那里的人取得联系。

— 特洛伊亨特 (@troyhunt) 2021 年 10 月 11 日

推文发布后，MakerBot 的一位发言人联系了 Hunt，并表示该公司“目前正在调查此事”。

Hunt 说，虽然他想尽早通知他的 Have I Being Pwned 订阅者，“我更希望 MakerBot 首先进行适当的披露。”

发现

暴露的数据集最初是由一位名叫“ pompompurin ”的研究人员和网络爱好者在 Twitter 和其他论坛上发现的。Pompompurin 告诉 ISMG，他于 2021 年 10 月 1 日发现了这一发现，并与他的一位朋友分享了它，后者进一步验证了它，然后通过电子邮件通知 Thingiverse 和 MakerBot。Pompompurin 说他不确定电子邮件中到底写了什么，因为他不是那次通信的一部分。

Pompompurin 说他自己扫描了暴露的数据库，确认泄露的数据集是 Thingiverse 备份数据中“配置错误的 S3 存储桶”的结果。

Pompompurin 说，MakerBot 没有回复他朋友的电子邮件，并且失去耐心，在一个已知的黑客论坛上泄露了数据，Pompompurin 说，他为这一行动辩护说：“他们应该如此鲁莽，以至于将备份公开.”

亨特谈到 Thingiverse 和 MakerBot 时说，“我从星期六开始就一直在尝试联系。现在是星期三。无论如何我可能只需要通知我的订阅者。”

根据 Hunt 的最新通信，他已告知 Thingiverse，他将在 10 月 14 日发布泄密信息，此前该公司回复他称他们“非常认真地对待此事”，但未能提供预计何时发布。发出正式通知。

上周，硅谷风投公司 Plug and Play Ventures 卷入了类似的数据泄露事件，当时该公司将 Amazon S3 存储桶对互联网开放。