投票的候选名单2021年3D打印行业大奖现在打开了。你认为今年谁应该获得最高荣誉?现在有你的发言权。
数字3D模型库Wortherse.遭遇了大规模数据泄露,其中大约228,000名订阅者的个人信息已在线公开提供。
最初泄露于2020年10月,36g的数据缓存据说包含独特的电子邮件地址和其他信息,可以被利用作为一种识别用户的手段。虽然这些细节已经在网上流传了一年多,但数据泄露通知服务提供商的我被骗了吗“现在发现证据表明它是”在黑客社区中的广泛传播“。
3D打印行业已经联系到Thingiverse征求意见,但截至发表为止还没有收到回应,虽然该公司已经告诉我有人被认为是“非常认真的这件事”,在写作时,Wistiveriverse未能通知受影响的用户。[请参阅文章末尾的更新]
MakerBot的开放模型平台
由MakerBot早在2008年,Thingiverse就是一个自诩的创客社区中心,他们可以在这里自由发布其他人3D打印模型设计所需的文件。截至2018年10月,该平台的注册用户已超过200万3.4亿个对象下载在那之后的三年里,它的规模和受欢迎程度持续增长。
除了为用户提供至少160万个不同的设计之外,该网站还允许用户通过其Customizer工具定制模型,甚至可以使用OpenSCAD从头开始构建自己的模型。该平台还允许在GNU通用公共许可或知识共享许可下上传模型,因此它在那些寻求分享和讨论他们的工作的创意人员中很受欢迎。
然而,Thingiverse的开放本性却有所不同之前它就很脆弱到黑客,并于2017年12月,网站评论部分内的缺陷允许黑客将其用作采矿加密货目的手段。实际上,该漏洞使肇事者能够利用访问者计算机的CPU功率,并将其重新部署以执行用于诸如比特币等数字货币所需的计算。
当时,MakerBot表示,此次黑客攻击背后的安全漏洞已经得到修复,所以“Thingiverse的用户无需担心有人劫持他们的东西,也不需要采取额外措施来保护他们的电脑。”该公司补充说,它已经禁止了违法者,而“挖掘脚本从来没有访问过用户的私人数据,”但在最新的黑客攻击中,情况似乎并非如此。
Thingihack II:这次是个人的
Thingiverse的最新泄漏被“我被Pwned”创造者特洛伊亨特宣传,他被警告到了一个受欢迎的黑客论坛上的受损数据。从那时起,他试图通过细节,据说告诉网络安全情报公司信息安全媒体组它包含超过2.55亿行数据。
亨特告诉ISMG:“数据集中最早的日期似乎要追溯到10年前,然而,我还没有对其进行足够仔细的分析。”“3D模型的数据是公开的,但也有电子邮件、IP地址、用户名、物理地址和全名。”
据我被入侵的网站称,数据缓存本身来源于Thingiverse泄露的备份,邮件地址大多来自3D模型上的评论。虽然这些邮件被理解为以webdev+格式共享(例如[username]@makerbot.com),但用户的姓名、地址和密码被包含在加密友好的无盐SHA-1或bcrypt哈希文件中。
令人担忧的是,通过他自己对数据的调查,亨特发现数据中存在的bcrypt密码哈希值可以显示用户的出生日期,但更有希望的是,他仍然没有发现任何“纯文本”密码泄露。
Thingiverse的下一步是什么?
亨特第一次得知Thingiverse的数据泄露是由“Pompompurin,'一个Cyber Aficionado,Twitter存在的存在以及论坛Keybase.在2021年10月1日发现这个信息缓存后,他们首先通过与一位爱好者分享来验证它的有效性,然后确定其原因可能是“配置错误的S3存储桶”,并直接联系MakerBot询问他们的担忧。
Pompompurin的网络联营令人感到沮丧,普拉丁的网络联营发布了一个已知的黑客论坛的数据,通过说“在如此鲁莽地离开备份之后发生这种情况”,使他们值得这样的行动。
像Pompompurin,3D印刷行业一样,ismg和狩猎都赶到了makerbot关于数据泄漏的评论,但到目前为止它未能回应。Elsewhere, Hunt has made his own appeal to Thingiverse on Twitter, asking for the personal contact details of the site’s security team, saying that he “uses the site a lot himself so he’d *really* like to get in touch with someone there.”
尽管到目前为止,他的推文还没有获得很大的关注,但推特用户“Rapterron的回应,批评Thingiverse是“他所见过的最被忽视、仍在使用的平台”,并调侃道,是“改密码的时候了。PRUSA.。“
更新时间:英国夏令时22:00,14/10/21
Makerbot的一名发言人发表了如下评论:“我们意识到并解决了一个内部人为错误,该错误导致Thingverse的少数用户的一些非敏感用户数据暴露。我们没有发现任何访问Thingiverse账户的可疑企图,我们鼓励Thingiverse的相关成员更新密码,作为预防措施。我们为这一事件道歉,并对它给用户带来的任何不便表示歉意。我们致力于通过透明和严格的安全管理,保护我们宝贵的利益相关者和资产。”
要了解最新的3D打印资讯,别忘了订阅3D印刷行业通讯或者跟随我们推特或者点赞我们的网页脸谱网.
对于深入潜入的添加剂制造,您现在可以订阅我们的雷电竞充值Youtube频道,具有讨论,汇报,和镜头3D打印在行动。
您在寻找添加剂制造业的工作吗?雷电竞充值访问3D打印工作在行业中选择一个角色。
特色图片显示,Thingiverse制造商“Clocktimer”开发了一个可3D打印的“黑客”印章。通过Clocktimer拍照。
