警告: Thingiverse データが漏洩? ！ 228,000人の加入者の個人情報が流出

この投稿は Spectacled Bear によって 2021-10-17 09:43 に最後に編集されました。

はじめに: 情報技術は現在、すべての人の生活に大きな影響を与えており、3D プリントの分野も例外ではありません。
Antarctic Bearは、2021年10月14日にhaveibeenpwned.comからのメッセージで、デジタル3DモデルリポジトリThingiverseで大規模なデータ漏洩が発生し、約228,000人の加入者の個人情報がオンラインで公開されたことを知りました。同サイトによれば、Thingiverse のデータ漏洩はかなり大規模で、2 億 5,500 万行を超えるデータを含む MySQL データベースであるようだ。合計36GBのファイルには、2020年10月の228,000件の電子メールアドレスなどの情報が含まれていました。データには、ソルトなしの SHA-1 または bcrypt ハッシュとして保存されたユーザー名、IP アドレス、フルネーム、パスワードも含まれていました。場合によっては、物理的な住所も公開されているようです。
△HaveI Been Pwnedがリーク情報を公開
MakerBotのオープンモデルプラットフォーム
2008 年に MakerBot によって設立された Thingiverse は、3D プリントモデルや関連ファイルを自由に公開できるメーカーのコミュニティです。 2018 年 10 月現在、このプラットフォームの登録ユーザーは 200 万人を超え、ダウンロード数は 3 億 4,000 万回を超えており、その後 3 年間で規模と人気が拡大し続けています。
△ Thingiverse ウェブサイトのスクリーンショットこのウェブサイトでは、少なくとも 160 万種類のデザインへのアクセスをユーザーに提供するだけでなく、カスタマイズツールを使用してモデルをパーソナライズしたり、OpenSCAD を使用して独自のモデルをゼロから構築したりすることもできます。このプラットフォームでは、GNU General Public ライセンスまたは Creative Commons ライセンスの下でモデルをアップロードすることもでき、作品を共有したり議論したりしたいクリエイティブな人々の間で人気があります。
しかし、Thingiverse はオープンな性質を持っているため、ハッカーの攻撃に対して脆弱です。 2017年12月、ウェブサイトのコメント欄に欠陥があり、ハッカーがそれを暗号通貨のマイニング手段として利用することが可能になった。事実上、この脆弱性により、犯罪者は訪問者のコンピュータの CPU パワーを悪用して、ビットコインなどのデジタル通貨のマイニングに必要な計算を実行できるようになります。当時、メーカーボットは、ハッキングの背後にあるセキュリティ上の欠陥は修正されたため、「Thingiverse ユーザーは、自分のものを誰かに乗っ取られることを心配したり、コンピューターを保護するために追加の手順を踏んだりする必要はない」と述べた。同社はまた、犯人をブロックし、「マイニングスクリプトがユーザーの個人データにアクセスしたことは一度もない」と付け加えたが、最新のハッキングではそうではないようだ。
2回目のハッキング
最新のThingiverseリークは、「Have I Being Pwned」の制作者Troy Hunt氏によって発表された。同氏は人気のハッキングフォーラムでデータ侵害について警告を受けた。彼はそれ以来詳細を調べようとしており、サイバーセキュリティ情報会社インフォメーション・セキュリティ・メディア・グループ（ISMG）に語った。
△Thingiverseのサンプルデータセットがハッカーフォーラムに流出（画像出典：raidフォーラム）
「データセットの最も古い日付は約10年前のものと思われるが、十分に注意深く分析していない」とハント氏はISMGに語った。「公開されている3Dモデルに関するデータもありましたが、電子メールやIPアドレス、ユーザー名、住所、フルネームもありました。」
Have I Being Pwned ウェブサイトの分析によると、データキャッシュ自体は漏洩した Thingiverse バックアップから取得され、電子メールアドレスは主に 3D モデルに残されたコメントから取得されました。メールは webdev+ 形式 (例: [username]@makerbot.com) で共有されていましたが、ユーザー名、アドレス、パスワードのソルトなし SHA-1 または bcrypt ハッシュも含まれていました。
△画像出典：haveibeenpwned.com
心配なことに、ハント氏はデータの中にユーザーの生年月日を示す可能性のある bcrypt パスワードハッシュを発見しましたが、幸いなことに、依然として「プレーンテキスト」形式で公開されたパスワードは見つかりませんでした。
緊急通知 Thingiverse
Thingiverse のデータ侵害は、Twitter や Keybase などのフォーラムで中程度の存在感を持つ「pompompurin」という研究者でウェブ愛好家によって最初に発見されました。 2021年10月1日に情報キャッシュを発見した後、検証を通じてその有効性を証明し、原因はおそらく「S3バケットの設定ミス」であると判断し、MakerBotに直接連絡して懸念を表明した。
△ハントさんのツイッターでの訴えしかし、メーカーボットは警告に対して何の行動も起こさなかったため、ポムポムプリンとネット上の友人たちはハッカーフォーラムにデータを投稿した。それ以来、ポムポムプリン、ISMG、ハントはデータ漏洩についてMakerBotに連絡を取っているが、長らく返答を受け取っていない。
△ドメイン監視サービスの一環として、HaveIbeenPwned から Thingiverse ユーザーに送信される通知。
自分のアカウント情報が心配な友人は、Have I Being Pwned の Web サイト (https://haveibeenpwned.com/) で自分のアカウントが漏洩していないかどうかを確認できます。
更新: Thingiverse の回答<br /> 2021年10月15日、Thingiverseはついにこの件に関して2つの声明を発表した。「Thingiverse上の一部の非機密ユーザーデータが漏洩した内部エラーを認識しており、解決しました。影響を受けたユーザーに通知し、Thingiverseアカウントのパスワードを更新することをお勧めします。ご不便をおかけして申し訳ございません。」「明確に申し上げますと、この漏洩は少数（500未満）の実際のユーザーデータに影響を与えました。非本番環境の非機密データには、暗号化されたパスワード（ランダムにソルト化）が含まれており、主にテストデータです。影響を受けたユーザーには通知済みです。」
△Thingiverseの対応また、Makerbotの広報担当者は、「Thingiverseアカウントにアクセスしようとする不審な試みは検出されておらず、予防措置として、関連するThingiverseメンバーにパスワードの更新を推奨します。今回の事件を深く遺憾に思い、ユーザーにご不便をおかけしたことをお詫び申し上げます。当社は、透明性と厳格なセキュリティ管理を通じて、貴重なステークホルダーと資産を保護することに尽力しています。」とコメントした。
情報セキュリティ危機<br /> 情報セキュリティをめぐる戦いは、次第に目に見えない「戦争」となってきました。この漏洩は、3D プリントの歴史上最大のハッカー攻撃となるかもしれないが、これが最後ではないことは間違いないだろう。
めったに使用されない Thingiverse パスワードが公開されても大したことではないと思うかもしれませんが、思ったよりも重大な問題になる可能性があります。多くの人が、異なる面倒なパスワードを覚えることが難しいため、依然として多くの人が異なる Web サイトで同じパスワードを使用しています。そのため、ハッカーがあなたの ID と有効なパスワードを入手したら、他のサービスで試してみるだけであなたのアカウントを簡単に使用できるようになります。これは「クレデンシャルスタッフィング」と呼ばれる手法です。
Thingiverse がパスワードを復号化可能な形式で保存することを選択したのはなぜですか?わからない。しかし、セキュリティ構成が広範囲にわたると、データの漏洩につながり、パスワードが解読されやすくなります。 MakerBot はおそらくパスワードをもっと良い方法で暗号化するはずですが、個人アカウントを保護するために、Antarctic Bear は依然としてユーザーにパスワードを変更し、異なる Web サイトで同じパスワードを使用しないようにすることを推奨しています。さらに、一部のウェブサイトやサービスでは、パスワードの機密性をさらに高めるために 2 要素認証を使用しています。Thingiverse は、ウェブサイトのセキュリティをさらに強化するために同様の方法を使用することを選択する場合があります。

関連記事: 1. Thingiverse のデータ漏洩が 228,000 人の購読者に影響 2. パスワードを変更してください: Thingiverse がハッキングされました! 3. 電子メールまたは電話がデータ侵害に遭っていないか確認してください 4. 確認済み: Thingiverse の侵害で 228,000 人の購読者の個人データが漏洩

警告: Thingiverse データが漏洩? ！ 228,000人の加入者の個人情報が流出

ハンバンテクノロジーが2021年BRICSスキル開発および技術革新コンペティションを主催し、金属3Dプリントトラックが成功裏にオープンしました

瑞彩科技の劉振CEO、2024年の展望：3Dプリントは忍耐力と基本スキルが試される製造業

西安の病院では、3DプリントされたPEEK素材がチタン合金の肋骨の代わりに使用され、人体に移植されることに成功した。

TWONAVはBCN3Dの3Dプリント技術を使用してGPSデバイスの製造を効率化します

乾物：融点が3400℃と高く加工が極めて難しい、3Dプリントタングステン金属技術の進歩分析

外科手術とテクノロジーの融合: 3D プリント技術が寛骨臼欠損患者の遠隔治療を実現

信じられない！面積1,500平方メートルを超える超大規模都市模型を3Dプリントするのに製作者は8年を要した！

ピッツバーグ大学、炭化タングステン粉末の3Dプリント研究に5万7000ドルを受領

台湾オーロラ：3Dプリント事業は2016年に23％、2017年1月には38％成長

ScanTech が ISO/IEC 27001 情報セキュリティおよび ISO/IEC 27701 プライバシー情報管理システム認証を取得

推薦する

強力な提携：レニショーとカナダメイクスが協力して AM 技術の応用を推進

百の学派が争う！ AM技術は航空宇宙産業で爆発的に普及した

3Dプリントエンジニアエリートクラスのトレーニング、入場無料、評価に合格して工業情報化部の証明書を取得

BMFの高精度3Dプリントは高速ドライブコネクタ業界に新たな選択肢を提供します

3Dプリント文化博物館パールストアが正式にオープンし、3Dプリント文化を家庭に届ける

バンブー・ラボ・ヨーロッパのCEOセドリック・マレットがデスクトップ3Dプリントの爆発的な成長について語る

クールな 3D プリントのバットマンスーツが「最も多くの機能」でギネス記録を獲得!

海でも街でも履ける、Boli の 3D プリントシューズが履き心地が良く、目を引くのはなぜでしょうか?

西北工科大学の Mei Hui 教授のチーム: 高度な光触媒のための 3D プリント組み立て技術!

CNPCの3Dプリントされた坑井検層用圧力源チャンバーの試作に成功

3D プリント + ナノテクノロジーで、ウェアラブルデバイス用の柔軟で耐久性のあるゴム製グラフェンセンサーを開発

『ゴースト・イン・ザ・シェル』が米国で公開：3Dプリントされた実物大ロボットや芸者がすごすぎて泣ける！

次世代の 3D プリントシューズが登場しました。「ゴーストシェル」がピーク国際バスケットボールフェスティバルに登場

3Dプリントで千年紀の洞窟のVRシーンを再現し、仮想の旅へと誘います

プレビュー、formnext 2017 フランクフルト国際精密成形および 3D プリンティング製造展示会