Mise à jour 15/10/2021 07:42 PT
Depuis la publication de cette histoire, nous avons reçu la déclaration suivante de Bennie Sham, responsable des relations publiques de Makerbot :
« Nous avons pris conscience d’une erreur humaine interne et l’avons corrigée qui a conduit à l’exposition de certaines données utilisateur non sensibles pour une poignée d’utilisateurs de Thingiverse. Nous n’avons identifié aucune tentative suspecte d’accès aux comptes Thingiverse, et nous avons encouragé les membres Thingiverse concernés de mettre à jour leurs mots de passe par mesure de précaution. Nous nous excusons pour cet incident et regrettons tout inconvénient qu’il a causé aux utilisateurs. Nous nous engageons à protéger nos précieuses parties prenantes et nos actifs, grâce à un changement transparent et à une gestion rigoureuse de la sécurité.
« Pour plus de clarté, l’exposition a affecté une poignée (moins de 500) de données d’utilisateurs réels. Les données de non-production et non sensibles comprenaient des mots de passe cryptés (salés au hasard) avec principalement des données de test. Les utilisateurs concernés ont été informés. »
L’article original suit.
Thingiverse, le site de partage communautaire de modèles d’impression 3D et d’autres fichiers de conception numérique, a été victime d’une fuite de données malheureuse, avec 36 Go d’adresses e-mail uniques et « d’autres informations personnellement identifiables » apparaissant sur un forum de piratage populaire. La fuite a été confirmée par le créateur de Have I Been Pwned, Troy Hunt, dans une déclaration à Information Security Media Group.
Le fichier de sauvegarde divulgué semble contenir une base de données MySQL avec plus de 255 millions de lignes de données, selon Hunt. À l’intérieur, il y a « des données sur les modèles 3D qui sont accessibles au public, mais il y a aussi des adresses e-mail et IP, des noms d’utilisateur, des adresses physiques et des noms complets ». Les horodatages semblent remonter à au moins une décennie.
Bien qu’il n’y ait aucun signe que des mots de passe en texte brut aient été divulgués, Ai-je été pwned tweeté (s’ouvre dans un nouvel onglet) sur la présence de « hachages de mots de passe SHA-1 ou bcrypt non salés » dans les données. Le sel est une donnée aléatoire ajoutée au processus de hachage (une transformation à sens unique) pour augmenter la complexité. Bien que les mots de passe hachés soient toujours illisibles sans effort considérable, ils sont plus faciles à déchiffrer sans la présence de sel.
La brèche a été découverte pour la première fois le 1er octobre par un utilisateur de Twitter pompompurine (s’ouvre dans un nouvel onglet)à la suite d’un « compartiment S3 mal configuré » à partir des données de sauvegarde de Thingiverse.
Le propriétaire de Thingiverse, MakerBot, a été mis au courant de l’incident mais, au moment de la rédaction de cet article, n’a pas encore publié de déclaration. Ce serait maintenant un très bon moment pour changer votre mot de passe Thingiverse, ainsi que les mots de passe de tous les autres sites pour lesquels vous avez peut-être réutilisé par inadvertance les mêmes informations d’identification.