根据Data breach today上周报道,知名3D模型网站Thingiverse泄露了22.8一万名用户信息,但相关人员最近发现,泄露事件也可能导致大约5万台打印机被劫持。
自2020年10月起,共有36GB大小的Thingiverse数据泄露,包括用户的电子邮件地址IP 地址、用户名、居住地址等信息。Thingiverse母公司MakerBot软件工程师工作过TJ Horner据说泄露的数据包括一些OAuth这些令牌可用于远程访问MakerBot第五代甚至更高的版本3D打印机,并在打印机上调用摄像头进行监控。
Horner使用泄露的OAuth令牌监视自己的MakerBot METHOD X 打印机
Horner如果打印机连接到互联网,任何拥有这些令牌的人都可以完全控制打印机,攻击者可能会去 3D 打印机发送错误的示意图,损坏打印机的步进电机。此外,这些泄漏令牌还允许攻击者访问Thingiverse用户的账户信息。
Horner包括 在内的受影响的打印机型号Replicator 5th Gen、Replicator Mini、Replicator Z18、Replicator 、Replicator Mini 、所有METHOD系列打印机和MakerBot Sketch。
MakerBot本次事件未公开提及打印机令牌泄露,但相关令牌已作废。
面对这起泄露事件,MakerBot声明只有不到500名用户受到数据泄露的影响,并强调泄露只包括主要用于测试数据的非生产和非敏感数据。它还坚持通知受影响的用户。
但是没有得到这个声明Horner数据泄露通知网站(Have I Been Pwned)创建者Troy Hunt对数据的认可和质疑。Hunt向泄露的用户发送1万多封电子邮件,确认他们是否Thingiverse到目前为止,用户已经收到了肯定的回复。
参考来源:
https://www.inforisktoday.com/thingiverse-breach-50000-printers-could-have-been-hijacked-a-17749