22万8000人分の情報が流出、3DモデルライブラリThingiverseのセキュリティ脆弱性の続報

はじめに：2021年10月14日、HaveIBeenPwned.comからのメッセージで、Makerbotの3Dモデル構築コミュニティThingiverseのデータベースが漏洩し、約228,000人の加入者の個人データ（メールアドレスや軽く暗号化されたパスワードを含む）が公開されたと伝えられました。Antarctic Bearは、この件の続報に細心の注意を払いました。
△Have I Been Pwnedがリーク情報を公開。Antarctic Bearは、Thingiverseのセキュリティ脆弱性が当初考えられていたほど深刻ではない可能性があることを知った。かつてMakerbotで働き、現在はTwoSenseで働いているソフトウェアエンジニアのTJ Horner氏によると、オンラインに投稿されているデータダンプファイルをチェックして関連情報を読んだところ、次のような興味深い点が見つかったそうです。

データは実際には、Thingiverse の作成から 2018 年 5 月 18 日までのコミュニティアクティビティデータを含むステージングデータベースから取得されます。これ以降に作成されたデータはデータダンプに含まれません。
ダンプ内のデータには 2,079,011 人のユーザーが含まれていました。
漏洩が発覚して以来、MakerBot 社は影響を受けたユーザーは約 500 人のみであると述べた。しかしホーナー氏は、これはダンプ内の MakerBot 以外のアカウントの数であり、残りは内部アカウントだと考えている。

△TJホーナー氏による漏洩データの分析
ホーナー氏はデータの内容を分析し、2018 年 5 月 18 日以前に Thingiverse 上でユーザーが生成した実際のリアルタイムデータがすべて漏洩したと確信しました。その中には、次の注目すべきオプションも含まれていました。

ハッシュ化されたパスワード (SHA-1 または bcrypt)
住所
ユーザー間のDM
監査ログ

ホーナー氏はまた、「この漏洩したデータがあれば、今回の侵害に関わったユーザーが所有するインターネットに接続されたすべてのメーカーボット製プリンターを制御できるが、ユーザーには何もできない。メーカーボットに修正の機会を与えるため、まだ詳細には触れたくないが、これは本当にひどい」と警告した。
△Thingiverseの対応現時点では、ThingiverseがTwitterで行った2つの声明以外に、MakerBotはこの件に関して公式発表を行っていない。これまでの2つのデータ危機に対するサイトの対応の悪さから、多くの3DプリントユーザーはThingiverseから離れるよう求めている。一部のユーザーはアカウントを削除しており、デジタルアーティストは作品を他のリポジトリに移行しています。
△Thingiverseのサンプルデータセットがハッカーフォーラムに流出（画像出典：raidフォーラム）
同時に、情報セキュリティの問題に関して、Antarctic Bear はパスワードを変更し、異なるサイトで同じパスワードを使用しないようにすることを強くお勧めします。あなたのメールアドレスとパスワードが Thingiverse から漏洩したことが確認された場合、悪意のある人物に利用されることを避けるために、Antarctic Bear は主要なサービス (銀行の Web サイトなどの重要なアカウントなど) に対して 2 要素認証を有効にすることを強くお勧めします。

参考資料: 1. 注意: Thingiverse のデータが漏洩? ！ 228,000人の加入者の個人情報が流出
2. この新たなデータ侵害により Thingiverse は終了する可能性はありますか?
3. Thingiverseのセキュリティ侵害について
4. TJホーナーのツイッター