3D模型网站Thingiverse用户数据泄露,超5万台打印机可能被劫持

安全
根据Data breach today上周报道,知名3D模型网站Thingiverse泄露了22.8万名用户资料,但相关人员最近发现,这起泄露事件还可能导致约5万台打印机被劫持。

[[429610]]

根据Data breach today上周报道,知名3D模型网站Thingiverse泄露了22.8万名用户资料,但相关人员最近发现,这起泄露事件还可能导致约5万台打印机被劫持。

从2020年10月起,共有36GB大小的Thingiverse数据被泄露,包括用户的电子邮件地址、IP 地址、用户名、居住地址等信息。曾在Thingiverse母公司MakerBot工作过的软件工程师TJ Horner表示,此次泄露的数据中包括一些OAuth令牌,这些令牌可用于远程访问MakerBot第5代甚至更高版本的3D打印机,并调用打印机上的摄像头对其实行监视。

Horner使用泄露的OAuth令牌监视自己的MakerBot METHOD X 打印机

Horner认为,如果打印机连接到互联网,任何拥有这些令牌的人都可以完全控制打印机,攻击者可能会向 3D 打印机发送错误的示意图,并损坏打印机的步进电机,此外,这些泄露的令牌还能让攻击者访问Thingiverse用户的账户信息。

Horner列出了受影响的打印机机型,包括 Replicator 5th Gen、Replicator Mini、Replicator Z18、Replicator+、Replicator Mini+、所有METHOD系列打印机和MakerBot Sketch。

MakerBot在此次事件中没有公开提及有关打印机的令牌泄露,但已对相关令牌进行作废处理。

面对这起泄露事件,MakerBot曾声明,只有不到500名用户受到数据泄露的影响,并强调泄露的只包括主要用于测试数据的非生产、非敏感数据。它还坚持已通知受影响的用户。

但这项声明并未得到Horner以及数据泄露通知网站(Have I Been Pwned)创建者Troy Hunt的认可,并对数据产生质疑。Hunt向已被泄露的用户发送了超1万邮件,确认他们是不是Thingiverse用户,到目前为止均收到了肯定的回复。

参考来源:

https://www.inforisktoday.com/thingiverse-breach-50000-printers-could-have-been-hijacked-a-17749

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-04-02 11:09:35

MobiKwik 移动支付数据泄露

2011-05-03 15:04:04

3D打印机

2012-07-24 10:05:09

打印机

2021-01-20 23:40:27

数据泄露OpenWRT攻击

2022-12-01 12:14:09

2014-08-26 18:24:50

2012-07-27 11:02:32

打印机

2013-05-02 14:26:33

3D

2015-11-06 09:59:45

2021-01-06 10:01:09

数据泄露漏洞信息安全

2021-11-09 15:47:05

Robinhood攻击数据泄露

2023-10-23 19:18:05

2015-10-19 18:18:44

2020-09-08 08:48:07

数据泄露漏洞信息安全

2014-03-17 17:46:46

“In”出精彩 优伴桌

2021-10-19 15:52:58

Tor站点劫持REvil

2021-03-03 07:20:57

Linux

2014-12-25 17:56:06

2021-01-21 11:30:59

数据泄露漏洞信息安全

2023-03-23 18:31:31

点赞
收藏

51CTO技术栈公众号