3D模型网站Thingiverse用户数据泄露,超过5万台打印机可能被劫持还可能导致约5万台打印机被劫持。自2020年10月以来,共有36GB的Thingiverse数据被泄露,包括用户的邮箱地址、IP地址、用户名、居住地址等信息。曾在Thingiverse母公司MakerBot工作的软件工程师TJHorner表示,泄露的数据包括一些OAuth令牌,可用于远程访问MakerBot第5代或更高版本的3D打印机,并调用打印机上的3D打印机.摄像机监控它。霍纳使用泄露的OAuth令牌来监控他自己的MakerBotMETHODX打印机。霍纳认为,如果打印机连接到互联网,任何拥有这些令牌的人都可以完全控制打印机。攻击者可以将错误的原理图发送到3D打印机并损坏它。此外,泄露的令牌可能使攻击者能够访问Thingiverse用户帐户信息。Horner列出了受影响的打印机型号,包括Replicator5thGen、ReplicatorMini、ReplicatorZ18、Replicator+、ReplicatorMini+、所有METHOD系列打印机和MakerBotSketch。MakerBot并未在此次事件中公开提及打印机相关代币泄露,但已将相关代币作废。面对这次泄密事件,MakerBot表示只有不到500名用户受到数据泄露的影响,并强调此次泄密事件仅包括非生产、非敏感数据,主要用于测试数据。它还坚称已通知受影响的用户。但该声明并未得到数据泄露通知网站(HaveIBeenPwned)的创建者霍纳和特洛伊亨特的认可,并对数据提出质疑。Hunt已向泄露的用户发送了10,000多封电子邮件,以确认他们是否是Thingiverse用户,目前已收到积极回应。参考来源:https://www.inforisktoday.com/thingiverse-breach-50000-printers-could-have-been-hijacked-a-17749
