据报道,Thingiverse 是一个致力于共享用户创建的数字设计文件的网站,泄露了一个 36GB 的备份文件,其中包含 228,000 个唯一的电子邮件地址和其他个人身份信息,Have I Being Pwned数据泄露通知服务的创建者 Troy Hunt 证实,引用该数据集在流行的黑客论坛上的流通。
Thingiverse 主要提供免费的开源硬件设计,可以根据 GNU 通用公共许可证或知识共享许可证获得许可,并允许贡献者为他们共享的设计选择用户许可证类型 - 使其成为创意艺术家的热门选择。
在分析了黑客论坛的数据文件后,亨特告诉信息安全媒体集团,备份文件在一年前的 2020 年 10 月 13 日被公开转储,此后一直暴露在外。他补充说,泄露的数据似乎是一个包含超过 2.55 亿行数据的 MySQL 数据库。“数据集中最早的日期戳似乎可以追溯到大约十年前,但是,我还没有对其进行足够仔细的分析,”亨特说。
亨特谈到泄露的数据时说,“有关于 3D 模型的数据可以公开访问,但也有电子邮件和 IP 地址、用户名、物理地址和全名。”
Hunt 说,绝大多数电子邮件地址似乎都是 webdev+[username]@makerbot.com 的形式,他不确定这样做的原因。以下是从数据表中获取的完整记录示例:1[XXXXX]1,'[username]','webdev+[username]@makerbot.com','$2y$10$X26cQ2uz5Uh1EyfIabIpguXHcS7G3uJ1AC8MnvxQ7dlFewq'NULL,WNULL ',0,'','2018-02-19 06:07:43','2018-02-19 05:51:17',0,'cc-sa',1,1,1,1,1 ,1,1,NULL,0,0,0,0,'',0,'AR','制造商/消费者','','1099',0,'199[X]-0[X]- 25 00:00:00',NULL,0,NULL
此外,Hunt 还注意到上述示例中存在 bcrypt 密码哈希,以及暴露的用户的出生日期。
然而,Thingiverse 用户可以轻松一点,因为在此数据集中没有明文密码暴露的迹象。“我目前还没有找到密码,”亨特告诉 ISMG。
ISMG 和 Hunt 都曾多次尝试联系 Thingiverse 的所有者 MakerBot,后者是一家总部位于纽约的 3D 打印机制造公司。该公司尚未作出回应。亨特在 Twitter 上询问是否有人联系过 MakerBot 的安全团队。
有人在@thingiverse 上有安全联系人吗?他们没有回复 DM 或他们的联系表格。我自己经常使用这个网站,所以我*真的*想与那里的人取得联系。
— 特洛伊亨特 (@troyhunt) 2021 年 10 月 11 日
推文发布后,MakerBot 的一位发言人联系了 Hunt,并表示该公司“目前正在调查此事”。
Hunt 说,虽然他想尽早通知他的 Have I Being Pwned 订阅者,“我更希望 MakerBot 首先进行适当的披露。”
暴露的数据集最初是由一位名叫“ pompompurin ”的研究人员和网络爱好者在 Twitter 和其他论坛上发现的。Pompompurin 告诉 ISMG,他于 2021 年 10 月 1 日发现了这一发现,并与他的一位朋友分享了它,后者进一步验证了它,然后通过电子邮件通知 Thingiverse 和 MakerBot。Pompompurin 说他不确定电子邮件中到底写了什么,因为他不是那次通信的一部分。
Pompompurin 说他自己扫描了暴露的数据库,确认泄露的数据集是 Thingiverse 备份数据中“配置错误的 S3 存储桶”的结果。
Pompompurin 说,MakerBot 没有回复他朋友的电子邮件,并且失去耐心,在一个已知的黑客论坛上泄露了数据,Pompompurin 说,他为这一行动辩护说:“他们应该如此鲁莽,以至于将备份公开.”
亨特谈到 Thingiverse 和 MakerBot 时说,“我从星期六开始就一直在尝试联系。现在是星期三。无论如何我可能只需要通知我的订阅者。”
根据 Hunt 的最新通信,他已告知 Thingiverse,他将在 10 月 14 日发布泄密信息,此前该公司回复他称他们“非常认真地对待此事”,但未能提供预计何时发布。发出正式通知。
上周,硅谷风投公司 Plug and Play Ventures 卷入了类似的数据泄露事件,当时该公司将 Amazon S3 存储桶对互联网开放。
对于外发给客户(第三方)的文件,可控制对方的打开时间和次数等限制!同时可设置对员工电脑文件自动备份,防止恶意删除造成企业数据的遗失!从源头防控企业数据安全!
实操指南:如何监控聊天中的敏感信息?这款秘籍软件,轻松掌握微信聊天动态
电影《摩登时代》里,流水线工人就连在吃饭时都要用“自动喂食机”提高效率,这样才能挤出更多时间投入工作。虽然现在打工人不至于此,但有些老板仍然放心不下……像企业聊天记录往往蕴含着大量的敏感信息。为了确保信息安全,监控聊天中的敏感信息成为了一项必要且重要的工作。以下是一款秘籍软件,帮助你轻松掌握微信聊天动态,确保信息安全。...
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过员工上班在干什么?摸鱼?打游戏?老板该怎么管理?如何才能监视怎么监控员工上班情况?监控员工上班情况可以通过多种方式实现,但重要的是要确保这些措施既合法又合规,同时尊重员工的隐私权。以下是一些建议的方法:一、制定明确的行为规范与奖惩制度1、制定行为规范: 企...
怎么监控员工上班情况?快速监控员工状态
怎么监控员工上班情况?快速监控员工状态在企业管理中,如何有效监控员工上班情况,确保工作效率与团队协作,是每位老板都需面对的课题。本文为您揭秘五招快速监控员工状态的实用技巧,不仅能帮助您实时掌握员工动态,还能提升整体管理效率。作为老板,掌握这些技巧,将让您在企业管理中游刃有余,轻松应对各种挑战。一、使用安企神软件实时监控...
安企神桌管软件:提升企业管理效率的全能助力
安企神桌管软件:提升企业管理效率的全能助力在当今竞争激烈的商业环境中,企业必须不断优化管理和运营流程,以提高效率和盈利能力。安企神桌管软件正是这样一款面向中小企业的管理工具,能够帮助企业在多方面提升综合管理水平。本文将详细探讨安企神桌管软件给企业带来的多重价值。一、全方位的管理功能安企神桌管软件是一款集成了多种管理功能...
安企神:揭开终端安全管理软件的神秘面纱
安企神:揭开终端安全管理软件的神秘面纱在数字化日益普及的今天,企业的网络安全问题愈发显得重要。数据泄露、网络攻击等事件层出不穷,如何保障企业内部信息的安全性成为众多企业关心的焦点。安企神终端安全管理软件应运而生,作为一款专业的安全管理工具,它的功能与优势备受关注。本文将全面揭秘安企神软件的核心功能、应用场景及其在终端安...