3D模型网站Thingiverse数据泄露，将直接影响22.8w用户

近日，资源库获悉，目前世界上最大的3D打印模型库Thingiverse遭受了大规模数据泄露，其中大约228,000 名订阅者的个人信息包括用户的电子邮件地址、IP 地址、用户名、居住地址等信息被泄露并且在国外流行的黑客论坛上的流通。

据称，该36GB 数据缓存最初于2020年10月泄露，其中包含可被用作识别用户身份的唯一电子邮件地址和其他信息。Have I Being Pwned数据泄露通知服务的创建者 Troy Hunt 证实，泄露的数据似乎是一个包含超过2.55亿行数据的MySQL数据库。“数据集中最早的日期戳似乎可以追溯到大约十年前，但是，我还没有对其进行足够仔细的分析，”Hunt说。

Makerbot 的一位发言人发表了以下评论：“我们意识到并解决了一个内部人为错误，该错误导致少数Thingiverse用户暴露了一些非敏感用户数据。我们没有发现任何访问Thingiverse 帐户的可疑企图，我们鼓励相关 Thingiverse 成员更新他们的密码作为预防措施。我们对此事件深表歉意，并对给用户带来的不便表示歉意。我们致力于通过透明度和严格的安全管理来保护我们宝贵的利益相关者和资产。”

但相关人员最近发现，这起泄露事件还可能导致约5万台打印机被劫持。曾在Thingiverse母公司MakerBot工作过的软件工程师TJ Horner表示，此次泄露的数据中包括一些OAuth令牌，这些令牌可用于远程访问MakerBot第5代甚至更高版本的3D打印机，并调用打印机上的摄像头对其实行监视。

Horner使用泄露的OAuth令牌监视自己的MakerBot METHOD X 打印机

Horner认为，如果打印机连接到互联网，任何拥有这些令牌的人都可以完全控制打印机，攻击者可能会向 3D 打印机发送错误的示意图，并损坏打印机的步进电机，此外，这些泄露的令牌还能让攻击者访问Thingiverse用户的账户信息。

Horner列出了受影响的打印机机型，包括 Replicator 5th Gen、Replicator Mini、Replicator Z18、Replicator+、Replicator Mini+、所有METHOD系列打印机和MakerBot Sketch。

MakerBot在此次事件中没有公开提及有关打印机的令牌泄露，但已对相关令牌进行作废处理。

面对这起泄露事件，MakerBot曾声明，只有不到500名用户受到数据泄露的影响，并强调泄露的只包括主要用于测试数据的非生产、非敏感数据。它还坚持已通知受影响的用户。

但这项声明并未得到Horner以及数据泄露通知网站（Have I Been Pwned）创建者Troy Hunt的认可，并对数据产生质疑。Hunt向已被泄露的用户发送了超1万邮件，确认他们是不是Thingiverse用户，到目前为止均收到了肯定的回复。