W połowie października informowaliśmy, że na Thingiverse – największej bibliotece z darmowymi modelami do druku 3D, doszło do dużego wycieku danych użytkowników. Na popularnym forum hakerskim udostępniono 228 tysięcy unikalnych danych jak adresy e-mail, hasła, nazwy użytkowników, adresy IP, a w niektórych przypadkach także adresy fizyczne komputerów. Po blisko dwóch miesiącach od tamtego wydarzenia, właściciel platformy – MakerBot, wydał w końcu oficjalne oświadczenie w tej sprawie…
Po wewnętrznym śledztwie ustalono, że dane zostały udostępnione 16 października 2020 r. na skutek bliżej nieokreślonej „ludzkiej pomyłki”. MakerBot odkrył to (a konkretnie – „został o tym poinformowany”) dopiero rok później – 12 października 2021 r. Nie zidentyfikowano żadnych podejrzanych prób uzyskania dostępu do kont Thingiverse lub użycia ujawnionych tokenów, a sama platforma ni została zaatakowana lub uszkodzona.
Wyciek ograniczył się do danych użytkowników, którzy utworzyli konta na Thingiverse w latach 2010-2018 i obejmował takie dane jak: nazwa użytkownika, dane z Twittera, zahaszowane hasła, adresy e-mail, adresy e-mail powiązane z kontami PayPal (które były wykorzystywane do wysyłania dobrowolnych napiwków dla użytkowników Thingiverse za ich projekty), numery telefonów, adresy IP, zgłoszone adresy fizyczne komputerów, wiadomości bezpośrednie wysyłane pomiędzy użytkowniakmi, nieopublikowane projekty 3D i tokeny.
MakerBot zapewnia, że podjął stosowne kroki aby zapobiec tego typu sytuacjom w przyszłości:
- odnaleziono źródło wycieku, naprawiono błąd wewnętrzny, który to umożliwił oraz usunięto publiczny dostęp do ujawnionych danych
- zablokowano dostęp do wszystkich zhakowanych tokenów
- zidentyfikowano i zresetowano hasła użytkowników, których adresy e-mail ujawniono.
Źródło: www.makerbot.com