Bei Thingiverse, der von MakerBot gegründeten und international bekannten Online-Community für Hobby-Makers, soll ein massiver Datenschutzbruch stattgefunden haben, der bis zu 228.000 Besucher betreffen könnte. 36 Gigabyte Daten eines Backups gerieten wohl Angaben zu Folge in die falschen Hände.

Anzeige

ThingiverseDer Benachrichtigungsdienst für Datenschutzverletzungen „Have I been Pwned“ hat eigenen Angaben zu Folge Beweise dafür gefunden, dass personenbezogene Daten wie E-Mail-Adressen und andere Informationen aus dem im Oktober 2020 durchgesickerten 36 Gigabyte großen Datencache von Thingiverse „in der Hacker-Community ausgiebig zirkulieren“. Der Datenschutzbruch betrifft persönliche Daten von rund 228.000 Besuchern. Die darin enthaltenen Informationen könnten zur Identifizierung von Benutzern ausgenutzt werden, wie „Data Breach Today“ berichtet.

» Hinweis: Da wir uns hier im Beitrag ebenfalls nur auf externe Informationen beziehen sollte auf jeden Fall auch das erste öffentliche Statement von MakerBot dazu am Ende dieser Nachricht gelesen werden. Wer ganz sicher gehen möchte sollte aber das Passwort für seinen Thingiverse-Account vorsichtshalber ändern.

Hack 1: Fehler im Kommentarbereich (2017)

Thingiverse, der selbsternannte Hub für die weltweit wachsende Makers-Community wurde 2008 vom US-3D-Drucker-Hersteller MakerBot gegründet. Maker können 3D-Dateien für die Weiterverarbeitung mit einem Desktop-3D-Drucker anderen zur Verfügung stellen. Im Oktober 2018 hat die Plattform bereits mehr als zwei Millionen registrierte Benutzer und über 340 Millionen Objekt-Downloads ermöglicht. Umfang und Popularität stiegen seit damals weiter.

Ein Fehler im Kommentarbereich der Website ermöglichte es Hackern, Thingiverse als Mittel zum Mining von Kryptowährungen zu verwenden. Die Täter konnten die CPU-Leistung der Computer der Benutzer nutzen und sie neu einsetzen, um die für das Mining der digitalen Währungen wie Bitcoin benötigten Berechnungen durchzuführen. MakerBot gelang es, die Sicherheitslücke hinter dem Hack zu beheben und entschuldigte sich bei den Thingiverse-Benutzern.

Screenshot Thingiverse Startseite
Thingiverse ist eine von MakerBot gegründete Maker-Community (im Bild: Screenshot von Thingiverse)(Bild © Thingiverse).

Hack 2: 36 GB Datencache verloren

Troy Hunt, der Gründer von „Have I Been Pwned“ hat das neue Leck veröffentlicht. Er wurde in einem Hacking-Forum auf die kompromittierten Daten aufmerksam gemacht. Es scheint sich dabei um mehr als 255 Mio. Datenzeilen zu handeln.

Hunt erklärt:

„Die frühesten Datumsstempel im Datensatz scheinen etwa ein Jahrzehnt zurückzuliegen, aber ich habe sie nicht genau genug analysiert. Es gibt Daten zu den 3D-Modellen, die öffentlich zugänglich sind, aber auch E-Mail- und IP-Adressen, Benutzernamen, physische Adressen und vollständige Namen.“

Have I Been Pwned sagte, dass der Datencache wohl aus einem durchgesickerten Thingiverse-Backup entstand und E-Mail-Adressen aus Kommentaren auf 3D-Modelle enthält. Ein Twitter-User namens „pompompurin“ hat Hunt auf das Datenleck von Thingiverse aufmerksam gemacht. Am 1. Oktober 2021 fanden sie den Informations-Cache, überprüften die Gültigkeit, bevor sie die Ursache als „fehlkonfigurierten S3-Bucket“ identifizierten und MakerBot direkt kontaktierten.

Offizielle Erklärung von MakerBot

Am 14.10.2021 folgte eine Erklärung von MakerBot:

„Wir sind auf einen internen menschlichen Fehler aufmerksam geworden und haben ihn behoben, der dazu führte, dass einige nicht sensible Benutzerdaten für eine Handvoll Thinverse-Benutzer. Wir haben keine verdächtigen Versuche festgestellt, auf Thingiverse-Konten zuzugreifen, und wir haben die betreffenden Thingiverse-Mitglieder gebeten, ihre Passwörter als Vorsichtsmaßnahme zu aktualisieren. Wir entschuldigen uns für diesen Vorfall und bedauern alle Unannehmlichkeiten, die den Nutzern dadurch entstanden sind. Wir verpflichten uns, unsere geschätzten Interessengruppen und Vermögenswerte durch Transparenz und ein strenges Sicherheitsmanagement zu schützen.“

Über weitere Informationen zu der Schlagzeile darf man gespannt sein. Wir werden jedenfalls weiter berichten (Newsletter abonnieren).

Zum Newsletter anmelden

Anzeige

Meistverkaufte 3D-Drucker in der 48. Kalenderwoche 2021

Platzierung3D-DruckerBester PreisShopMehr Infos
NEUArtillery Sidewinder-X2335,63 €kaufen
1 TOPSELLERQIDI TECH X-Max894,99 € erstmals unter 900 €!kaufenTestbericht
2 TOPSELLERArtillery Sidewinder-X1209,99 €kaufenNeuvorstellung
3 TOPSELLERQIDI TECH i-mate S406,50 €kaufenTestbericht
4Creality CR-6 SE199,99 €kaufenNeuvorstellung | Tesbericht
5FLSUN Q5178,36 €kaufen
6QIDI TECH X-Plus637,49 €kaufenTestbericht
7Tronxy X5SA-500 PRO792,79 €kaufen
8FLSUN QQ S Pro248,59 €kaufen
9Artillery Genius228,45 €kaufenTestbericht
10Creality Ender 3112,84 €kaufenTestbericht
11ANYCUBIC Photon Mono X
424,63 €kaufen
12Creality Ender 3 PRO204,23 €kaufen
13Ender 5 Plus
458,99 €kaufen
14Creality Ender 3 V2159,99 €kaufen
15ANYCUBIC Mega X310,64 €kaufenTestbericht
16Sovol SV01299,99 €kaufenTestbericht

Gutschein-Code funktioniert nicht? Fehlerhaften Coupon melden | 3D-Drucker kaufen | 3D-Druck-Shop