Maggiori informazioni sulla violazione della sicurezza di Thingiverse
La violazione della sicurezza di Thingiverse che abbiamo segnalato ieri e potrebbe non essere così grave come si pensava inizialmente.
Per chi non l’avesse ancora sentito, i ricercatori di sicurezza hanno scoperto un dump di dati di Thingiverse che circolano online e che conteneva, tra le altre cose, credenziali di sicurezza per alcuni utenti di Thingiverse.
Secondo il rapporto su HaveIBeenPwned.com, sono stati scoperti circa 228.102 account. Ciò include l’indirizzo e-mail e una password leggermente crittografata.
Tuttavia, questo potrebbe non essere così male come sembra. L’ingegnere del software TwoSense TJ Horner ha esaminato il dump dei dati e ha appreso parecchio su quello che è successo. Questi dati possono essere analizzati da chiunque perché, beh, i dati sono stati pubblicati online.
L’analisi di Horner è notevole perché in precedenza hanno lavorato presso MakerBot, l’operatore di Thingiverse, e dovrebbero avere alcune informazioni aggiuntive sui dati. Secondo la loro analisi:
Horner ha affermato che i dati provengono in realtà da un database di staging che contiene dati dell’attività di Thingiverse fino al 18 maggio 2018. I dati creati dopo che i dati non erano nel dump dei dati. A quanto pare un incredibile 2.079.011 utenti sono stati inclusi nella discarica.
Dalla rivelazione della perdita, MakerBot ha indicato che erano solo circa 500 gli utenti interessati. Horner crede che questo sia dovuto al numero di account non MakerBot nella discarica, mentre il resto sono account interni.
Horner spiega il contenuto della violazione:
“Ciò significa che TUTTI i dati di produzione reali e in tempo reale che Thingiverse aveva sugli utenti fino a quel momento erano trapelati, da notare:”
Password con hash (SHA-1 o bcrypt)
Indirizzi fisici
DM tra utenti
Registri di moderazione
Horner indica anche un avvertimento, dicendo:
“Con questi dati trapelati c’è un modo per prendere il controllo di ogni stampante MakerBot connessa a Internet di proprietà di qualsiasi utente in questa perdita, con gli utenti che non possono fare nulla al riguardo. Non voglio ancora entrare nei dettagli al riguardo per dare a MakerBot la possibilità di risolverlo. Ma è davvero brutto”.
Sembra inquietante, ma potrebbe essere correlato agli indirizzi fisici contenuti nel dump dei dati. Se è così, sicuramente molti di questi indirizzi saranno cambiati nei 3,5 anni trascorsi da quando si è verificato il dump dei dati.
È anche meno perché il dump dei dati risale all’origine di Thingiverse nel 2008. In quel lungo periodo è certo che molti dei dispositivi connessi a Internet sono stati ritirati o sostituiti con apparecchiature più avanzate.
A partire da questa mattina, non ho visto un annuncio ufficiale di MakerBot in merito alla situazione, ma so che sono a conoscenza dell’incidente e senza dubbio stanno preparando una dichiarazione e prendendo provvedimenti internamente.
Nel frattempo, ti consiglio vivamente di cambiare le tue password, non solo su Thingiverse, ma anche su qualsiasi altro sito in cui ti è capitato di utilizzare lo stesso indirizzo email e la stessa combinazione di password. Se la tua email e la tua password sono state esposte da Thingiverse, potrebbero essere usate altrove. Consiglio vivamente anche di attivare l’autenticazione a due fattori per tutti i servizi critici che potresti utilizzare, come il tuo sito bancario.