Thingiverse – największa platforma z darmowymi modelami do druku 3D została zhackowana. Serwis Have I Been Pwned? donosi, że doszło do włamania i wykradzenia pliku kopii zapasowej o pojemności 36 GB, który zawiera 228 000 unikalnych adresów e-mail i innych informacji umożliwiających identyfikację osób posiadających konto na platformie. Dane krążą na popularnym forum hakerskim.
Dane obejmują adresy e-mail, hasła, nazwy użytkowników, adresy IP, a w niektórych przypadkach także adresy fizyczne komputerów. Właściciel Thingiverse – MakerBot (należący do koncernu Stratasys), wie o incydencie, ale do tej pory nie wydał jeszcze oficjalnego oświadczenia o wycieku danych.
Wyciek został odkryty przez Troya Hunta – twórcę serwisu Have I Been Pwned? Po przeanalizowaniu pliku danych z forum hakerskiego, Hunt poinformował, że plik kopii zapasowej został publicznie zrzucony dokładnie rok temu, 13 października 2020 r. i od tego czasu pozostaje ujawniony. Dodaje też, że dane, które wyciekły, wydają się być bazą danych MySQL, która zawiera ponad 255 milionów linii danych. „Najwcześniejsze daty w zestawie danych wydają się pochodzić sprzed około dziesięciu lat, jednak nie przeanalizowałem ich wystarczająco dokładnie” – mówi Hunt.
Hunt mówi, że zdecydowana większość adresów e-mail wydaje się być w formie webdev+[nazwa użytkownika]@makerbot.com. Poniżej znajduje się przykład pełnego rekordu pobranego z tabeli danych:
1[XXXXX]1,'[username]','webdev+[username]@makerbot.com','$2y$10$X26cQ2uz5Uh1EyfIabIpguXHcS7G3uJ1AC8MnvxQ7dlFewy8wUWQq',NULL,NULL,'',0,'','2018-02-19 06:07:43','2018-02-19 05:51:17',0,'cc-sa',1,1,1,1,1,1,1,NULL,0,0,0,0,'',0,'AR','Maker/Consumer','','1099',0,'199[X]-0[X]-25 00:00:00',NULL,0,NULLDobra wiadomość jest taka, że w zbiorze opublikowanych danych nie ma śladu haseł w postaci zwykłego tekstu. Niemniej jednak warto pomyśleć o zmianie hasła – a przede wszystkim sprawdzeniu, czy te używane na Thingiverse nie jest tym samym, które używacie na innych, nieco ważniejszych platformach…? Mój adres e-mail niestety znalazł się na liście tych, które wyciekły – szczęśliwie hasło jakiego używałem na Thingiverse było mało istotne (tzw. „śmieciowe”). Tak czy inaczej już je zmieniłem, do czego również i Was namawiam.
