警告: Thingiverse データが漏洩? ！ 228,000人の加入者の個人情報が流出

この投稿は Spectacled Bear によって 2021-10-17 09:43 に最後に編集されました。

はじめに: 情報技術は現在、すべての人の生活に大きな影響を与えており、3D プリントの分野も例外ではありません。
Antarctic Bearは、2021年10月14日にhaveibeenpwned.comからのメッセージで、デジタル3DモデルリポジトリThingiverseで大規模なデータ漏洩が発生し、約228,000人の加入者の個人情報がオンラインで公開されたことを知りました。同サイトによれば、Thingiverse のデータ漏洩はかなり大規模で、2 億 5,500 万行を超えるデータを含む MySQL データベースであるようだ。合計36GBのファイルには、2020年10月の228,000件の電子メールアドレスなどの情報が含まれていました。データには、ソルトなしの SHA-1 または bcrypt ハッシュとして保存されたユーザー名、IP アドレス、フルネーム、パスワードも含まれていました。場合によっては、物理的な住所も公開されているようです。
△HaveI Been Pwnedがリーク情報を公開
MakerBotのオープンモデルプラットフォーム
2008 年に MakerBot によって設立された Thingiverse は、3D プリントモデルや関連ファイルを自由に公開できるメーカーのコミュニティです。 2018 年 10 月現在、このプラットフォームの登録ユーザーは 200 万人を超え、ダウンロード数は 3 億 4,000 万回を超えており、その後 3 年間で規模と人気が拡大し続けています。
△ Thingiverse ウェブサイトのスクリーンショットこのウェブサイトでは、少なくとも 160 万種類のデザインへのアクセスをユーザーに提供するだけでなく、カスタマイズツールを使用してモデルをパーソナライズしたり、OpenSCAD を使用して独自のモデルをゼロから構築したりすることもできます。このプラットフォームでは、GNU General Public ライセンスまたは Creative Commons ライセンスの下でモデルをアップロードすることもでき、作品を共有したり議論したりしたいクリエイティブな人々の間で人気があります。
しかし、Thingiverse はオープンな性質を持っているため、ハッカーの攻撃に対して脆弱です。 2017年12月、ウェブサイトのコメント欄に欠陥があり、ハッカーがそれを暗号通貨のマイニング手段として利用することが可能になった。事実上、この脆弱性により、犯罪者は訪問者のコンピュータの CPU パワーを悪用して、ビットコインなどのデジタル通貨のマイニングに必要な計算を実行できるようになります。当時、メーカーボットは、ハッキングの背後にあるセキュリティ上の欠陥は修正されたため、「Thingiverse ユーザーは、自分のものを誰かに乗っ取られることを心配したり、コンピューターを保護するために追加の手順を踏んだりする必要はない」と述べた。同社はまた、犯人をブロックし、「マイニングスクリプトがユーザーの個人データにアクセスしたことは一度もない」と付け加えたが、最新のハッキングではそうではないようだ。
2回目のハッキング
最新のThingiverseリークは、「Have I Being Pwned」の制作者Troy Hunt氏によって発表された。同氏は人気のハッキングフォーラムでデータ侵害について警告を受けた。彼はそれ以来詳細を調べようとしており、サイバーセキュリティ情報会社インフォメーション・セキュリティ・メディア・グループ（ISMG）に語った。
△Thingiverseのサンプルデータセットがハッカーフォーラムに流出（画像出典：raidフォーラム）
「データセットの最も古い日付は約10年前のものと思われるが、十分に注意深く分析していない」とハント氏はISMGに語った。「公開されている3Dモデルに関するデータもありましたが、電子メールやIPアドレス、ユーザー名、住所、フルネームもありました。」
Have I Being Pwned ウェブサイトの分析によると、データキャッシュ自体は漏洩した Thingiverse バックアップから取得され、電子メールアドレスは主に 3D モデルに残されたコメントから取得されました。メールは webdev+ 形式 (例: [username]@makerbot.com) で共有されていましたが、ユーザー名、アドレス、パスワードのソルトなし SHA-1 または bcrypt ハッシュも含まれていました。
△画像出典：haveibeenpwned.com
心配なことに、ハント氏はデータの中にユーザーの生年月日を示す可能性のある bcrypt パスワードハッシュを発見しましたが、幸いなことに、依然として「プレーンテキスト」形式で公開されたパスワードは見つかりませんでした。
緊急通知 Thingiverse
Thingiverse のデータ侵害は、Twitter や Keybase などのフォーラムで中程度の存在感を持つ「pompompurin」という研究者でウェブ愛好家によって最初に発見されました。 2021年10月1日に情報キャッシュを発見した後、検証を通じてその有効性を証明し、原因はおそらく「S3バケットの設定ミス」であると判断し、MakerBotに直接連絡して懸念を表明した。
△ハントさんのツイッターでの訴えしかし、メーカーボットは警告に対して何の行動も起こさなかったため、ポムポムプリンとネット上の友人たちはハッカーフォーラムにデータを投稿した。それ以来、ポムポムプリン、ISMG、ハントはデータ漏洩についてMakerBotに連絡を取っているが、長らく返答を受け取っていない。
△ドメイン監視サービスの一環として、HaveIbeenPwned から Thingiverse ユーザーに送信される通知。
自分のアカウント情報が心配な友人は、Have I Being Pwned の Web サイト (https://haveibeenpwned.com/) で自分のアカウントが漏洩していないかどうかを確認できます。
更新: Thingiverse の回答<br /> 2021年10月15日、Thingiverseはついにこの件に関して2つの声明を発表した。「Thingiverse上の一部の非機密ユーザーデータが漏洩した内部エラーを認識しており、解決しました。影響を受けたユーザーに通知し、Thingiverseアカウントのパスワードを更新することをお勧めします。ご不便をおかけして申し訳ございません。」「明確に申し上げますと、この漏洩は少数（500未満）の実際のユーザーデータに影響を与えました。非本番環境の非機密データには、暗号化されたパスワード（ランダムにソルト化）が含まれており、主にテストデータです。影響を受けたユーザーには通知済みです。」
△Thingiverseの対応また、Makerbotの広報担当者は、「Thingiverseアカウントにアクセスしようとする不審な試みは検出されておらず、予防措置として、関連するThingiverseメンバーにパスワードの更新を推奨します。今回の事件を深く遺憾に思い、ユーザーにご不便をおかけしたことをお詫び申し上げます。当社は、透明性と厳格なセキュリティ管理を通じて、貴重なステークホルダーと資産を保護することに尽力しています。」とコメントした。
情報セキュリティ危機<br /> 情報セキュリティをめぐる戦いは、次第に目に見えない「戦争」となってきました。この漏洩は、3D プリントの歴史上最大のハッカー攻撃となるかもしれないが、これが最後ではないことは間違いないだろう。
めったに使用されない Thingiverse パスワードが公開されても大したことではないと思うかもしれませんが、思ったよりも重大な問題になる可能性があります。多くの人が、異なる面倒なパスワードを覚えることが難しいため、依然として多くの人が異なる Web サイトで同じパスワードを使用しています。そのため、ハッカーがあなたの ID と有効なパスワードを入手したら、他のサービスで試してみるだけであなたのアカウントを簡単に使用できるようになります。これは「クレデンシャルスタッフィング」と呼ばれる手法です。
Thingiverse がパスワードを復号化可能な形式で保存することを選択したのはなぜですか?わからない。しかし、セキュリティ構成が広範囲にわたると、データの漏洩につながり、パスワードが解読されやすくなります。 MakerBot はおそらくパスワードをもっと良い方法で暗号化するはずですが、個人アカウントを保護するために、Antarctic Bear は依然としてユーザーにパスワードを変更し、異なる Web サイトで同じパスワードを使用しないようにすることを推奨しています。さらに、一部のウェブサイトやサービスでは、パスワードの機密性をさらに高めるために 2 要素認証を使用しています。Thingiverse は、ウェブサイトのセキュリティをさらに強化するために同様の方法を使用することを選択する場合があります。

関連記事: 1. Thingiverse のデータ漏洩が 228,000 人の購読者に影響 2. パスワードを変更してください: Thingiverse がハッキングされました! 3. 電子メールまたは電話がデータ侵害に遭っていないか確認してください 4. 確認済み: Thingiverse の侵害で 228,000 人の購読者の個人データが漏洩

警告: Thingiverse データが漏洩? ！ 228,000人の加入者の個人情報が流出

よりスマートな3Dプリントでより良い部品をより早く作れる

2023年陝西省重点産業チェーン発展プロジェクト支援対象プロジェクトリストの公表

フランスのポンピドゥーの大規模3Dプリントテーマ展が盛大に閉幕

FILOALFA、PEEKに代わるTHERMEC ZED 3Dプリント材料をリリース

UBCオカナガンの研究者が宇宙衛星の通信方法を変える新しい化合物を開発

セラミック 3D プリントの固形分含有量は最大 87wt%、Qiyu Technology のデュアルシリンダーシンク直立型 DLP ソリューション

柔らかさを調整できる3Dプリントの足用矯正器具は、糖尿病や関節炎の患者にとって恩恵となる可能性がある

重慶両江新区人民病院整形外科は3Dプリント技術を使用して新しいスタイルを披露

日本は、よりリアルな骨モデルを3Dプリントできる新しい塩ベースのインクを開発した。

日本のオタクが醤油トレーを3Dプリントしたら美女が出てきた！

推薦する

光硬化性マイクロニードルと組み合わせたCo-MOFにより、皮膚フラップ移植の成功率が向上します。

250社以上の3Dプリント企業が出展、米国RAPID+TCT展示会レポート

卯年恒例パーティーの賞品は決まりましたか？ Additive Cloud 3D Mall、3Dプリントの「Qiantu Wuliang」トロフィーを発売

プレビュー: EOS のデジタルバブルウェビナー、カスタマイズ市場のブレークスルー

3D プリントモデル: ゲームの武器、ヘルメット、マーベルのスーパーヒーロー

北京航空航天大学の邱春雷教授チーム「AM」：1.2Gpaの超高降伏強度の新しい付加製造チタン合金Ti-Fe-Co-Mo

3Dデザイナーの皆さん、ご注意ください。ゲーム大手のテンセントがミルプラットフォームを立ち上げます

南方科技大学が共有結合適応ネットワーク形状記憶ポリマーを開発するための再構成可能な4D印刷技術を発表

衣料品生産モデルを変え、英国のタミケアが3Dプリント衣料品の大量生産を開始

レビュー: 埋め込み押し出し 3D バイオプリンティングの設計上の考慮事項と生体材料の選択

米国の科学者が3Dプリント技術を使ってウランシリサイド核燃料を製造

西安サイロンはAMチャイナでさまざまな粉末製造装置と電子ビーム選択溶融成形装置を展示します。

評価額10億ドルの光硬化型3Dプリンター企業Carbonがさらに2億ドルの投資を受ける

医療機器業界向け歯科用3Dプリントのリーディングカンパニー

旧暦1月15日は、頭を使って元宵節をお祝いしましょう！ HP 3Dプリンティング体験デーのチケットを獲得しましょう