MakerBot fornisce un aggiornamento sulla violazione della sicurezza di Thingiverse
MakerBot ha fornito una divulgazione dettagliata di una fuga di dati dello scorso ottobre.
A ottobre, è stato rivelato da haveibeenpwned.com che si è verificata un’importante fuga di dati su Thingiverse . Evidentemente nella malavita di Internet circolava un backup del database contenente 36 GB di dati. Il dump dei dati presumibilmente conteneva oltre 228.000 indirizzi e-mail univoci degli utenti di Thingiverse.
Poco dopo, l’ingegnere del software TJ Horner, che aveva appena lavorato in MakerBot, ha eseguito un’analisi del dump e ha stabilito che conteneva oltre 2 milioni di utenti identificabili. Tuttavia, molte delle identità erano interne a MakerBot e Thingiverse, mentre solo circa 500 utenti esterni erano interessati.
Horner ha anche avvertito:
“Con questi dati trapelati c’è un modo per prendere il controllo di ogni stampante MakerBot connessa a Internet di proprietà di qualsiasi utente in questa perdita, con gli utenti che non possono fare nulla al riguardo. Non voglio ancora entrare nei dettagli al riguardo per dare a MakerBot la possibilità di risolverlo. Ma è davvero brutto”.
Questa settimana MakerBot ha concluso le sue indagini sulla vicenda e ha fornito un aggiornamento molto dettagliato sulla situazione. Mentre la versione è sicuramente qualcosa che dovresti leggere se ti capita di essere un utente Thingiverse (e chi non lo è?), Ci sono alcuni punti salienti che indicherò.
MakerBot ha stabilito che i dati sono stati erroneamente resi disponibili per errore umano il 16 ottobre 2020 e sono rimasti in quello stato fino alla data del 12 ottobre 2021. A quel punto i dati sono stati rimossi e MakerBot ha avviato un’indagine completa.
MakerBot ha determinato che i dati includevano informazioni per gli utenti che avevano creato account su Thingiverse dal 2010 al 2018 e includevano le seguenti informazioni specifiche:
Nome utente
Gesti pubblici di Twitter
Password con hash
Indirizzi email
Indirizzi e-mail associati a Paypal (utilizzati per le mance dei designer)
Numeri di telefono segnalati dall’utente
Indirizzi IP
Indirizzi fisici autodichiarati
Messaggi diretti
Disegni inediti
gettoni
MakerBot segnala di non aver rilevato tentativi sospetti di utilizzare le risorse Thingiverse utilizzando le informazioni esposte, quindi è una buona cosa. Tuttavia, il danno può andare oltre lo stesso Thingiverse.
MakerBot ha causato automaticamente una reimpostazione della password su tutti gli utenti Thingiverse interessati, che sostanzialmente negano il valore criminale del dump dei dati, sul sito Thingiverse.Tuttavia, c’è un problema di cui ogni utente interessato dovrebbe essere completamente consapevole: se hai riutilizzato la tua password Thingiverse altrove, potrebbe compromettere gli account con altri servizi.
Le password con hash hanno bisogno di una spiegazione. Non memorizzano letteralmente i caratteri “mydumbpassword42”, ma memorizzano invece una trasformazione matematica di questa sequenza di caratteri, qualcosa come “$1$B36ccs6lc$5WZ5N10quMJ62v5LCu8Jj1”.
In che modo questo aiuta un hacker a irrompere? In realtà è piuttosto semplice: usano semplicemente lo stesso algoritmo di hashing e ripetutamente attraverso le parole di un dizionario e altre fonti nell’algoritmo. Se per caso uno dei loro tentativi corrisponde al valore hash memorizzato, allora hanno determinato la tua password dall’hash.
Questa password può quindi essere riutilizzata ovunque il tuo indirizzo e-mail sia stato utilizzato come ID account.
Ad esempio, supponiamo che ti sia capitato di utilizzare la stessa password per il tuo account Thingiverse che hai utilizzato anche, ad esempio, sul tuo account Amazon. Qualcuno che controlla il file di dump potrebbe semplicemente accedere al tuo account Amazon utilizzando la password determinata e ordinare alcuni articoli succosi.
O peggio, se ti capitasse di utilizzare la stessa password per il tuo servizio bancario, gli hacker potrebbero accedere ai tuoi soldi. Questo è uno dei motivi per cui tutti dovrebbero prendere in considerazione l’autenticazione a due fattori per i servizi critici. Se “2FA” è stato utilizzato in questo scenario bancario, l’hacker non potrebbe ottenere l’accesso perché non sta ricevendo il codice di conferma che è andato al tuo cellulare.
Un’altra cosa degna di nota è che il dump dei dati di Thingiverse includeva gli indirizzi e-mail di PayPal. Questo non va bene, in quanto mostrerebbe immediatamente a un hacker che l’individuo ha un conto PayPal e fornirebbe l’ID per esso. Quindi è solo questione di rompere l’hash per entrare nel conto PayPal e trasferire denaro altrove.
C’è un altro modo per ridurre la tua esposizione qui: usa sempre, sempre, sempre password molto lunghe. Questo perché ci sono un’infinità di possibilità in più che gli hacker dovranno valutare prima di scoprire la tua password dall’hash. Alcuni suggeriranno di utilizzare una varietà di caratteri speciali, ma sono molto meno importanti della lunghezza della password. In altre parole, questa password:
“^%0-_++ffZ”
Non è così efficace come:
“Anello-intorno-le-sette-patate”
Quest’ultimo è anche molto più facile da ricordare e da inserire.
MakerBot ha adottato misure per mitigare l’errore umano dietro l’esposizione. Stanno modificando le loro procedure interne per garantire che questo tipo di errore non si ripeta, oltre a revocare tutti i token esposti.
Infine, devo dire che MakerBot ha chiaramente commesso un errore qui e sono stati catturati da un hacker che ha raccolto i loro dati. Anche se li fa sembrare cattivi, non dare per scontato che altre aziende che non hanno subito un’esposizione ai dati stiano gestendo meglio le cose internamente.
Molte aziende hanno impostazioni di sicurezza piuttosto approssimative ed è solo questione di tempo prima che perdano il controllo di alcuni dati. Potrebbero non essere nelle notizie di oggi, ma potrebbero esserlo in futuro.
Nel frattempo, il mio miglior consiglio è di seguire questi tre passaggi:
Usa sempre una password diversa per ogni servizio che utilizzi
Usa sempre password memorabili molto lunghe quando ti è permesso farlo
Considera l’utilizzo di un gestore di password professionale per tenere traccia delle tue credenziali