- 最新消息
回上一頁
最新消息
2021/10/19
Thingiverse 3D模型網爆個資外洩!你是其中一員嗎?
FB的大當機事件,連FB員工也無法進入辦公室修復當機的窘態,仍然記憶猶新,而最近MakerBot旗下的免費模型網站Thingiverse遭受駭客攻擊,超過22萬用戶個資外洩,也跟FB一樣造成數位製造業一片嘩然!前因後果給你一次交代清楚。
據消息報稱,Thingiverse早在2020年10月就被洩露了包含用戶電郵地址、以及其個資的數據庫,雖然這些資料已經在網路上流傳了一年多,但數據洩露通知服務供應商“Have I Being Pwned”到近日才發現Thingiverse被駭的證據,而這些資料早已在駭客的社群中廣泛流傳。
就算Thingiverse在2020年10月遭到駭客攻擊,被洩露了228,000名用戶的資料,但該網站並沒有立刻對受影響的用戶發出正式通知
MakerBot的免費模型下載網
Thingiverse是由MakerBot於2008年創立,自詡為3D列印創客、玩家們的交流中心,這是一個可以自由發佈3D列印模型設計檔案的平台。截至2018年10月,該平台已累積了200多萬個註冊用戶,並擁有超過3.4億次的下載量,可見Thingiverse受歡迎及具影響力的程度。當然,像Thingiverse這樣的範本網站多不勝數,你也可參考這裡的範本網站清單。
話說回來,也正因Thingiverse的開放性才容易惹來駭客攻擊,像該網站評論區的一個BUG,就在2017年底被駭客利用來挖掘比特幣了。當時MakerBot聲稱他們已解決了這個安全缺陷,所以Thingiverse用戶不必擔心個資外洩,也不需要採取額外的措施來保護他們的電腦。當Thingiverse如此聲稱他們已禁止違法者的行為時,但在最新的駭客攻擊中,已證明事實並非如此。
Have I been Pwned向Thingiverse用戶發送的通知,這是他們監察網路的服務之一
洩密的前因後果
Thingiverse最新的資安問題被“Have I Being Pwned”的創辦人Troy Hunt公開,而他恰恰就是在一個駭客論壇上收到數據被洩露的警報。從那時起,他就試圖整理細節,據聞他給網絡安全情報公司ISMG的數據就多達2.55億條了。
而這些被洩露的數據,最早的日期差不多可以追溯到大約10年前,雖然3D模型的數據本來就是公開的,但還附帶了用戶的電郵地址、IP地址、用戶名稱、以及用戶的真實地址和全名。
令人最為擔憂的是,Troy Hunt發現數據中的bcrypt密碼有可能代表用戶的出生日期,但他並沒有發現任何「純文本」的密碼暴露,這也算是一個好消息吧!
Thingiverse的數據集樣本,在一個很夯的駭客論壇上被洩露了
Thingiverse的後續處理
早在這個月頭(2021年10月1日),當Troy Hunt受一位在Twitter及Keybase等社交媒體上都具影響力的網紅提醒Thingiverse被駭的事情,他立即確認真有其事後,便馬上聯絡了MakerBot,但MakerBot完全缺乏解決問題的行動力。隨後,一些3D列印的業界同行都聯繫了MakerBot,並希望MakerBot能就Thingiverse被駭一事發表言論,但MakerBot都未有任何表態,更遑論道歉聲明了,有用戶更表明Thingiverse是他看過最忽視資安問題的網站。
Thingiverse的被駭事件騷動了兩週,直至2021年10月14日,MakerBot才派出一位發言人作出以下聲明︰「我們已經意識到並解決了內部的人為錯誤,而這個錯誤,正是導致少數Thingiverse用戶曝露了一些非敏感性的用戶數據,但我們並無發現任何可疑的Thingiverse帳戶,我們鼓勵Thingiverse的用戶以更新密碼作為預防洩露隱私的措施。我們對此次事件感到抱歉,並對所有被影響的用戶感到遺憾,而我們也將致力通過透明和嚴格的安全管理,來保護我們相關人士的寶貴權益和資產。」
看倌們,你們對於Thingiverse此次的用戶隱私和公關災難有什麼看法嗎?不管在哪個領域,隱私安全一直備受關注,科技界更因此開發不少保護隱私的技術,但光是數位製造業就被爆出不少關於個資外洩的隱憂,從蘋果產品的隱私戰爭、到3D列印機發出的噪音也能洩露模型的資料,加上幾乎明目張膽的駭客問題,似乎科技愈先進、防範小人的技術也必須與時俱進呢!
📌最新、最炫的數位製造資訊,帶你走進數位製造及科技資訊的未來,立即給DiMan按讚吧!
FB、IG
✌️掌握你最新的科技資訊
https://diman.tw/
資料來源