首页 > 信息安全 > 正文

3D模型网站Thingiverse用户数据泄露,超5万台打印机可能被劫持

2021-10-20 10:24:00  来源:FreeBuf

摘要:根据Data breach today上周报道,知名3D模型网站Thingiverse泄露了22 8万名用户资料,但相关人员最近发现,这起泄露事件还可能导致约5万台打印机被劫持。
关键词: 数据 泄露
  根据Data breach today上周报道,知名3D模型网站Thingiverse泄露了22.8万名用户资料,但相关人员最近发现,这起泄露事件还可能导致约5万台打印机被劫持。
 
  从2020年10月起,共有36GB大小的Thingiverse数据被泄露,包括用户的电子邮件地址、IP 地址、用户名、居住地址等信息。曾在Thingiverse母公司MakerBot工作过的软件工程师TJ Horner表示,此次泄露的数据中包括一些OAuth令牌,这些令牌可用于远程访问MakerBot第5代甚至更高版本的3D打印机,并调用打印机上的摄像头对其实行监视。
 
  Horner认为,如果打印机连接到互联网,任何拥有这些令牌的人都可以完全控制打印机,攻击者可能会向 3D 打印机发送错误的示意图,并损坏打印机的步进电机,此外,这些泄露的令牌还能让攻击者访问Thingiverse用户的账户信息。
 
  Horner列出了受影响的打印机机型,包括 Replicator 5th Gen、Replicator Mini、Replicator Z18、Replicator+、Replicator Mini+、所有METHOD系列打印机和MakerBot Sketch。
 
  MakerBot在此次事件中没有公开提及有关打印机的令牌泄露,但已对相关令牌进行作废处理。
 
  面对这起泄露事件,MakerBot曾声明,只有不到500名用户受到数据泄露的影响,并强调泄露的只包括主要用于测试数据的非生产、非敏感数据。它还坚持已通知受影响的用户。
 
  但这项声明并未得到Horner以及数据泄露通知网站(Have I Been Pwned)创建者Troy Hunt的认可,并对数据产生质疑。Hunt向已被泄露的用户发送了超1万邮件,确认他们是不是Thingiverse用户,到目前为止均收到了肯定的回复。

第三十四届CIO班招生
北达软EXIN网络空间与IT安全基础认证培训
北达软EXIN DevOps Professional认证培训
责编:zhangwenwen

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。