近日，資源庫獲悉，目前世界上最大的3D打印模型庫Thingiverse遭受了大規(guī)模數(shù)據(jù)泄露，其中大約228,000 名訂閱者的個人信息包括用戶的電子郵件地址、IP 地址、用戶名、居住地址等信息被泄露并且在國外流行的黑客論壇上的流通。

據(jù)稱，該36GB 數(shù)據(jù)緩存最初于2020年10月泄露，其中包含可被用作識別用戶身份的唯一電子郵件地址和其他信息。Have I Being Pwned數(shù)據(jù)泄露通知服務的創(chuàng)建者 Troy Hunt 證實，泄露的數(shù)據(jù)似乎是一個包含超過2.55億行數(shù)據(jù)的MySQL數(shù)據(jù)庫。“數(shù)據(jù)集中最早的日期戳似乎可以追溯到大約十年前，但是，我還沒有對其進行足夠仔細的分析，”Hunt說。

Makerbot 的一位發(fā)言人發(fā)表了以下評論：“我們意識到并解決了一個內(nèi)部人為錯誤，該錯誤導致少數(shù)Thingiverse用戶暴露了一些非敏感用戶數(shù)據(jù)。我們沒有發(fā)現(xiàn)任何訪問Thingiverse 帳戶的可疑企圖，我們鼓勵相關 Thingiverse 成員更新他們的密碼作為預防措施。我們對此事件深表歉意，并對給用戶帶來的不便表示歉意。我們致力于通過透明度和嚴格的安全管理來保護我們寶貴的利益相關者和資產(chǎn)。”

但相關人員最近發(fā)現(xiàn)，這起泄露事件還可能導致約5萬臺打印機被劫持。曾在Thingiverse母公司MakerBot工作過的軟件工程師TJ Horner表示，此次泄露的數(shù)據(jù)中包括一些OAuth令牌，這些令牌可用于遠程訪問MakerBot第5代甚至更高版本的3D打印機，并調(diào)用打印機上的攝像頭對其實行監(jiān)視。

Horner使用泄露的OAuth令牌監(jiān)視自己的MakerBot METHOD X 打印機

Horner認為，如果打印機連接到互聯(lián)網(wǎng)，任何擁有這些令牌的人都可以完全控制打印機，攻擊者可能會向 3D 打印機發(fā)送錯誤的示意圖，并損壞打印機的步進電機，此外，這些泄露的令牌還能讓攻擊者訪問Thingiverse用戶的賬戶信息。

Horner列出了受影響的打印機機型，包括 Replicator 5th Gen、Replicator Mini、Replicator Z18、Replicator+、Replicator Mini+、所有METHOD系列打印機和MakerBot Sketch。

MakerBot在此次事件中沒有公開提及有關打印機的令牌泄露，但已對相關令牌進行作廢處理。

面對這起泄露事件，MakerBot曾聲明，只有不到500名用戶受到數(shù)據(jù)泄露的影響，并強調(diào)泄露的只包括主要用于測試數(shù)據(jù)的非生產(chǎn)、非敏感數(shù)據(jù)。它還堅持已通知受影響的用戶。

但這項聲明并未得到Horner以及數(shù)據(jù)泄露通知網(wǎng)站（Have I Been Pwned）創(chuàng)建者Troy Hunt的認可，并對數(shù)據(jù)產(chǎn)生質(zhì)疑。Hunt向已被泄露的用戶發(fā)送了超1萬郵件，確認他們是不是Thingiverse用戶，到目前為止均收到了肯定的回復。

近日，資源庫獲悉，目前世界上最大的3D打印模型庫Thingiverse遭受了大規(guī)模數(shù)據(jù)泄露，其中大約228,000 名訂閱者的個人信息包括用戶的電子郵件地址、IP 地址、用戶名、居住地址等信息被泄露并且在國外流行的黑客論壇上的流通。

據(jù)稱，該36GB 數(shù)據(jù)緩存最初于2020年10月泄露，其中包含可被用作識別用戶身份的唯一電子郵件地址和其他信息。Have I Being Pwned數(shù)據(jù)泄露通知服務的創(chuàng)建者 Troy Hunt 證實，泄露的數(shù)據(jù)似乎是一個包含超過2.55億行數(shù)據(jù)的MySQL數(shù)據(jù)庫。“數(shù)據(jù)集中最早的日期戳似乎可以追溯到大約十年前，但是，我還沒有對其進行足夠仔細的分析，”Hunt說。

Makerbot 的一位發(fā)言人發(fā)表了以下評論：“我們意識到并解決了一個內(nèi)部人為錯誤，該錯誤導致少數(shù)Thingiverse用戶暴露了一些非敏感用戶數(shù)據(jù)。我們沒有發(fā)現(xiàn)任何訪問Thingiverse 帳戶的可疑企圖，我們鼓勵相關 Thingiverse 成員更新他們的密碼作為預防措施。我們對此事件深表歉意，并對給用戶帶來的不便表示歉意。我們致力于通過透明度和嚴格的安全管理來保護我們寶貴的利益相關者和資產(chǎn)。”

但相關人員最近發(fā)現(xiàn)，這起泄露事件還可能導致約5萬臺打印機被劫持。曾在Thingiverse母公司MakerBot工作過的軟件工程師TJ Horner表示，此次泄露的數(shù)據(jù)中包括一些OAuth令牌，這些令牌可用于遠程訪問MakerBot第5代甚至更高版本的3D打印機，并調(diào)用打印機上的攝像頭對其實行監(jiān)視。

Horner使用泄露的OAuth令牌監(jiān)視自己的MakerBot METHOD X 打印機

Horner認為，如果打印機連接到互聯(lián)網(wǎng)，任何擁有這些令牌的人都可以完全控制打印機，攻擊者可能會向 3D 打印機發(fā)送錯誤的示意圖，并損壞打印機的步進電機，此外，這些泄露的令牌還能讓攻擊者訪問Thingiverse用戶的賬戶信息。

Horner列出了受影響的打印機機型，包括 Replicator 5th Gen、Replicator Mini、Replicator Z18、Replicator+、Replicator Mini+、所有METHOD系列打印機和MakerBot Sketch。

MakerBot在此次事件中沒有公開提及有關打印機的令牌泄露，但已對相關令牌進行作廢處理。

面對這起泄露事件，MakerBot曾聲明，只有不到500名用戶受到數(shù)據(jù)泄露的影響，并強調(diào)泄露的只包括主要用于測試數(shù)據(jù)的非生產(chǎn)、非敏感數(shù)據(jù)。它還堅持已通知受影響的用戶。

但這項聲明并未得到Horner以及數(shù)據(jù)泄露通知網(wǎng)站（Have I Been Pwned）創(chuàng)建者Troy Hunt的認可，并對數(shù)據(jù)產(chǎn)生質(zhì)疑。Hunt向已被泄露的用戶發(fā)送了超1萬郵件，確認他們是不是Thingiverse用戶，到目前為止均收到了肯定的回復。