Las noticias de haveibeenpwned.com indican que el popular repositorio de modelos 3D ha sido pirateado.
El sitio monitorea las filtraciones de datos y mantiene una base de datos de identificadores comprometidos. Cualquiera puede usar el servicio para verificar si una identificación de correo electrónico específica, incluida la suya, ha sido expuesta.
Ahora, el sitio informa que ha habido una gran filtración de credenciales de Thingiverse. Ellos explican:
“En octubre de 2022, una copia de seguridad de la base de datos tomada del servicio de intercambio de modelos 3D Thingiverse comenzó a circular ampliamente dentro de la comunidad de piratería. Desde octubre de 2022, el archivo de 36 GB contenía 228 mil direcciones de correo electrónico únicas, en su mayoría junto con los comentarios dejados en modelos 3D. Los datos también incluían nombres de usuario, direcciones IP, nombres completos y contraseñas almacenados como hashes SHA-1 o bcrypt sin sal. En algunos casos, también se expusieron direcciones físicas. El propietario de Thingiverse, MakerBot, está al tanto del incidente, pero al momento de escribir este artículo, aún no ha emitido una declaración de divulgación. Los datos fueron proporcionados a HIBP por dehashed.com «.
De hecho, una inspección de Thingiverse mientras escribo esto no muestra una declaración de divulgación, pero estoy bastante seguro de que lo harán en breve dada la magnitud de la exposición.
Cientos de miles de identificadores no es poca cosa y, de hecho, probablemente representa un gran porcentaje de entusiastas de la impresión 3D en todo el mundo.
¿Qué deberías hacer? Bueno, no hay nada que pueda hacer para detener la exposición de los datos, que ya ha ocurrido. La información expuesta aparentemente incluye direcciones de correo electrónico y contraseñas asociadas en forma ligeramente encriptada. Sin embargo, aparentemente es bastante fácil decodificar estas contraseñas y así obtener la contraseña real del sitio.
Puede pensar que exponer su contraseña de Thingiverse ligeramente usada no es tan importante, pero podría ser mucho más importante de lo que cree. Tenga en cuenta que muchas personas utilizan la misma contraseña para muchos servicios. Por lo tanto, una vez que un pirata informático tiene su identificación y una contraseña que funciona, solo necesita intentar usarla en CUALQUIER OTRO SERVICIO.
A veces funcionará si el propietario del correo electrónico ha utilizado la misma contraseña para diferentes servicios. Esto se puede hacer automáticamente mediante secuencias de comandos de inicio de sesión que pueden probar miles de sitios en busca de acceso potencial a sus identificadores.
¿Podría una de esas contraseñas reutilizadas estar en su servicio bancario? ¿Tu cuenta de intercambio de criptomonedas?
Regla de oro: ¡NUNCA USE LA MISMA CONTRASEÑA EN DIFERENTES SITIOS!
¿Por qué las contraseñas de Thingiverse se almacenaron de manera descifrable? No lo sé, pero tendrás que preguntarle a MakerBot sobre eso. El problema es que cuando proporciona credenciales a servicios remotos, realmente no tiene idea de lo que está sucediendo bajo las sábanas. Algunos servicios tienen configuraciones de seguridad extraordinariamente extensas, pero otros pueden no tener literalmente nada y almacenar sus credenciales en texto sin formato. Eso facilita el acceso con contraseña en caso de que los datos estén expuestos.
MakerBot quizás debería haber cifrado las contraseñas de una mejor manera, pero ahora es demasiado tarde.
Esto es lo que debe hacer de inmediato: vaya a Thingiverse y cambie su contraseña. Luego, cambie su contraseña en cualquier otro sitio que haya utilizado la misma contraseña y hágalo ahora. Es fácil de hacer y algo que debe hacerse con regularidad.
También es una muy buena idea considerar el uso de la autenticación de dos factores, que evitaría el acceso de los piratas informáticos, incluso si las contraseñas estuvieran expuestas. Algunos servicios ofrecen esto y le animo a que lo pruebe.
Una de las razones por las que las personas tienden a usar la misma contraseña es que es fácil recordar la contraseña única. Es extremadamente difícil o incluso imposible recordar muchas contraseñas diferentes, especialmente si son largas y confusas.
Por eso utilizo un administrador de contraseñas para realizar un seguimiento de mis contraseñas. Estas son utilidades de software que registran las credenciales cuando las usa, e incluso generan nuevas contraseñas aleatorias para nuevos inicios de sesión. Hay algunos servicios gratuitos que hacen esta función y algunos servicios mejor pagados. Personalmente, uso 1Password, pero hay varios otros con funciones similares.
Este es quizás el mayor truco en la historia de la impresión 3D, pero no será el último.
Esté preparado para la próxima vez.
Vía HaveIBeenPwned y Thingiverse
