zurück zum Artikel

Datenleck bei 3D-Druckplattform Thingiverse

Helga Hansen
Bunte Filamentreste von 3D-Drucken.

Bereits seit einem Jahr soll eine Backupdatei mit Userdaten der Plattform Thingiverse in einem beliebten Hacker-Forum verfügbar sein.

Eine Backupdatei der 3D-Druck-Plattform Thingiverse soll seit fast genau einem Jahr im Netz kursieren. In der 36 Gigabyte großen Datei seien rund 228.000 E-Mail-Adressen und weitere persönliche Daten, darunter schwach verschlüsselte Passwörter, so ein Bericht von Data Breach Today.

Öffentlich gemacht hat das Leck Troy Hunt, der auf seinem Password-Prüfdienst HaveIBeenPwned nun die Möglichkeit bietet, die eigenen Thingiverse-Zugangsdaten zu überprüfen [1]. Die Datei sei bereits am 13. Oktober 2020 im Hacker-Forum RaidForums veröffentlicht worden und seither verfügbar gewesen. Neben Daten zu 3D-Modellen seien laut seiner Analyse Usernamen, E-Mail- und IP-Adressen und physische Anschriften im Datenleck zu finden.

Auch Passwörter betroffen

Passwörter seien nur verschlüsselt enthalten – allerdings unsalted und mittels der Algorithmen bcrypt und SHA-1 verschlüsselt, die als unsicher gelten. Gina Häußge, Maintainerin der 3D-Drucker-Software Octoprint3D, rät daher zum sofortigen Passworttausch und lieferte auf Twitter auch gleich eine Anleitung dazu [2].

Vom Betreiber der Plattform, 3D-Druckerhersteller Makerbot, gibt es bisher keine öffentliche Stellungnahme [3], so Data Breach Today. Der Thingiverse-Account sorgt derweil auf Twitter für weitere Verwirrung. Ein erster Tweet [4] riet zum Update des Passworts und entschuldigte sich für die „Unannehmlichkeiten“. Die betroffenen Nutzer seien bereits informiert worden und der interne Fehler, der zum Leak der „nicht-sensiblen“ Daten führte, werde bereits angegangen. Einer späteren Klarstellung [5] zu Folge bezog sich dies aber nur auf einen weiteren, kleineren Leak.

Mehr von Make Mehr von Make [6]

(hch [7])

URL dieses Artikels:
https://www.heise.de/-6218965

Links in diesem Artikel:
[1] https://haveibeenpwned.com
[2] https://twitter.com/foosel/status/1448594725557215239
[3] https://www.databreachtoday.com/thingiverse-data-leak-affects-25-million-subscribers-a-17729
[4] https://twitter.com/thingiverse/status/1448754035528552451
[5] https://twitter.com/thingiverse/status/1448788429509115904
[6] https://www.heise.de/make/
[7] mailto:hch@make-magazin.de

Copyright © 2021 Heise Medien