2021年10月15日午前7時42分(太平洋標準時)更新
この記事が公開されて以来、Makerbot の PR マネージャーである Bennie Sham 氏から次のような声明を受け取りました。
明確に申し上げますと、今回の漏洩は少数(500件未満)の実ユーザーデータに影響しました。非本番環境向けで機密性のないデータには、暗号化されたパスワード(ランダムソルト付き)と、主にテストデータが含まれていました。影響を受けたユーザーには既に通知済みです。
3Dプリント用テンプレートやその他のデジタルデザインファイルをコミュニティで共有するサイト「Thingiverse」が、不運なデータ漏洩の被害に遭いました。36GB分の固有のメールアドレスと「その他の個人を特定できる情報」が、人気のハッキングフォーラムに掲載されました。この漏洩は、「Have I Been Pwned」の制作者Troy Hunt氏がInformation Security Media Groupへの声明で認めました。
ハント氏によると、流出したバックアップファイルには、2億5500万行以上のデータを含むMySQLデータベースが含まれているようだ。その中には「公開されている3Dモデルのデータに加え、メールアドレス、IPアドレス、ユーザー名、住所、氏名も含まれている」という。日付スタンプは少なくとも10年前のものと思われる。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
プレーンテキストのパスワードが漏洩した形跡はありませんが、Have I Been Pwnedは、データに「ソルトなしのSHA-1またはbcryptパスワードハッシュ」が含まれているとツイートしました。ソルトとは、ハッシュ化処理(一方向変換)に追加されるランダムデータで、複雑さを増します。ハッシュ化されたパスワードは、かなりの手間をかけなければ解読できませんが、ソルトがないと解読が容易になります。
この侵害は、Thingiverse のバックアップ データの「S3 バケットの設定ミス」が原因で、10 月 1 日に Twitter ユーザーの pompompurin によって初めて発見されました。
Thingiverseの所有者であるMakerBotはこの事件を認識していますが、本稿執筆時点ではまだ声明を発表していません。今こそ、Thingiverseのパスワードだけでなく、うっかり同じ認証情報を使い回している可能性のある他のサイトのパスワードも変更する絶好の機会です。
