Eine Backupdatei der 3D-Druck-Plattform Thingiverse soll seit fast genau einem Jahr im Netz kursieren. In der 36 Gigabyte großen Datei seien rund 228.000 E-Mail-Adressen und weitere persönliche Daten, darunter schwach verschlüsselte Passwörter, so ein Bericht von Data Breach Today.
Öffentlich gemacht hat das Leck Troy Hunt, der auf seinem Password-Prüfdienst HaveIBeenPwned nun die Möglichkeit bietet, die eigenen Thingiverse-Zugangsdaten zu überprüfen. Die Datei sei bereits am 13. Oktober 2020 im Hacker-Forum RaidForums veröffentlicht worden und seither verfügbar gewesen. Neben Daten zu 3D-Modellen seien laut seiner Analyse Usernamen, E-Mail- und IP-Adressen und physische Anschriften im Datenleck zu finden.
Vom Betreiber der Plattform, 3D-Druckerhersteller Makerbot, gibt es bisher keine öffentliche Stellungnahme, so Data Breach Today. Der Thingiverse-Account sorgt derweil auf Twitter für weitere Verwirrung. Ein erster Tweet riet zum Update des Passworts und entschuldigte sich für die „Unannehmlichkeiten“. Die betroffenen Nutzer seien bereits informiert worden und der interne Fehler, der zum Leak der „nicht-sensiblen“ Daten führte, werde bereits angegangen. Einer späteren Klarstellung zu Folge bezog sich dies aber nur auf einen weiteren, kleineren Leak.
Quelle: heise
Öffentlich gemacht hat das Leck Troy Hunt, der auf seinem Password-Prüfdienst HaveIBeenPwned nun die Möglichkeit bietet, die eigenen Thingiverse-Zugangsdaten zu überprüfen. Die Datei sei bereits am 13. Oktober 2020 im Hacker-Forum RaidForums veröffentlicht worden und seither verfügbar gewesen. Neben Daten zu 3D-Modellen seien laut seiner Analyse Usernamen, E-Mail- und IP-Adressen und physische Anschriften im Datenleck zu finden.
Auch Passwörter betroffen
Passwörter seien nur verschlüsselt enthalten – allerdings unsalted und mittels der Algorithmen bcrypt und SHA-1 verschlüsselt, die als unsicher gelten. Gina Häußge, Maintainerin der 3D-Drucker-Software Octoprint3D, rät daher zum sofortigen Passworttausch und lieferte auf Twitter auch gleich eine Anleitung dazu.Vom Betreiber der Plattform, 3D-Druckerhersteller Makerbot, gibt es bisher keine öffentliche Stellungnahme, so Data Breach Today. Der Thingiverse-Account sorgt derweil auf Twitter für weitere Verwirrung. Ein erster Tweet riet zum Update des Passworts und entschuldigte sich für die „Unannehmlichkeiten“. Die betroffenen Nutzer seien bereits informiert worden und der interne Fehler, der zum Leak der „nicht-sensiblen“ Daten führte, werde bereits angegangen. Einer späteren Klarstellung zu Folge bezog sich dies aber nur auf einen weiteren, kleineren Leak.
Quelle: heise
