[[429610]]

根據Data breach today上周報道，知名3D模型網站Thingiverse泄露了22.8萬名用戶資料，但相關人員最近發(fā)現，這起泄露事件還可能導致約5萬臺打印機被劫持。

從2020年10月起，共有36GB大小的Thingiverse數據被泄露，包括用戶的電子郵件地址、IP 地址、用戶名、居住地址等信息。曾在Thingiverse母公司MakerBot工作過的軟件工程師TJ Horner表示，此次泄露的數據中包括一些OAuth令牌，這些令牌可用于遠程訪問MakerBot第5代甚至更高版本的3D打印機，并調用打印機上的攝像頭對其實行監(jiān)視。

Horner使用泄露的OAuth令牌監(jiān)視自己的MakerBot METHOD X 打印機

Horner認為，如果打印機連接到互聯(lián)網，任何擁有這些令牌的人都可以完全控制打印機，攻擊者可能會向 3D 打印機發(fā)送錯誤的示意圖，并損壞打印機的步進電機，此外，這些泄露的令牌還能讓攻擊者訪問Thingiverse用戶的賬戶信息。

Horner列出了受影響的打印機機型，包括 Replicator 5th Gen、Replicator Mini、Replicator Z18、Replicator+、Replicator Mini+、所有METHOD系列打印機和MakerBot Sketch。

MakerBot在此次事件中沒有公開提及有關打印機的令牌泄露，但已對相關令牌進行作廢處理。

面對這起泄露事件，MakerBot曾聲明，只有不到500名用戶受到數據泄露的影響，并強調泄露的只包括主要用于測試數據的非生產、非敏感數據。它還堅持已通知受影響的用戶。

但這項聲明并未得到Horner以及數據泄露通知網站(Have I Been Pwned)創(chuàng)建者Troy Hunt的認可，并對數據產生質疑。Hunt向已被泄露的用戶發(fā)送了超1萬郵件，確認他們是不是Thingiverse用戶，到目前為止均收到了肯定的回復。

參考來源：

https://www.inforisktoday.com/thingiverse-breach-50000-printers-could-have-been-hijacked-a-17749