A MakerBot divulgou informações detalhadas sobre um vazamento de dados em outubro passado no site Thingiverse.
Em outubro, foi revelado por haveibeenpwned.com que um grande vazamento de dados ocorreu no Thingiverse. Evidentemente, um backup de banco de dados contendo 36 GB de dados estava circulando no submundo da Internet. O despejo de dados supostamente continha mais de 228.000 endereços de e-mail exclusivos de usuários do Thingiverse.
Então, logo depois disso, o engenheiro de software TJ Horner, que por acaso trabalhava anteriormente na MakerBot, fez uma análise do dump e determinou que continha mais de 2 milhões de usuários identificáveis. No entanto, muitas das identidades eram internas à MakerBot e Thingiverse, enquanto apenas cerca de 500 usuários externos foram afetados.
Horner também avisou:
“Com esses dados vazados, há uma maneira de assumir o controle de todas as impressoras MakerBot conectadas à Internet de propriedade de qualquer usuário neste vazamento, sem que os usuários possam fazer nada a respeito. Não quero entrar em detalhes sobre isso ainda para dar à MakerBot a chance de corrigi-lo. Mas é muito ruim.”
Esta semana, a MakerBot concluiu suas investigações sobre o caso e forneceu uma atualização muito detalhada sobre a situação. Embora o lançamento seja definitivamente algo que você deve ler se por acaso for um usuário do Thingiverse (e quem não é?), há alguns destaques a serem apontados.
Informações da MakerBot
A MakerBot determinou que os dados foram disponibilizados por engano por erro humano em 16 de outubro de 2020 e permaneceu nesse estado até a data de 12 de outubro de 2021. Naquela época, os dados foram retirados e a MakerBot lançou uma investigação abrangente.
A MakerBot determinou que os dados incluíam informações para usuários que criaram contas no Thingiverse de 2010 a 2018 e incluiu as seguintes informações específicas:
- Nome do usuário
- Manipuladores públicos do Twitter
- Senhas com hash
- Endereço de e-mail
- Endereços de e-mail associados ao Paypal (usados para dicas de designers)
- Números de telefone auto-relatados
- Endereços IP
- Endereços físicos autorrelatados
- Mensagens diretas
- Designs não publicados
- Tokens
A MakerBot relata que não detectou nenhuma tentativa suspeita de usar os recursos do Thingiverse usando as informações expostas, então isso é bom. No entanto, o dano pode ir além do próprio Thingiverse.
Medidas da Makerbot para aumentar a segurança
A MakerBot causou automaticamente uma redefinição de senha em todos os usuários do Thingiverse afetados, o que basicamente nega o valor criminoso do despejo de dados – no site do Thingiverse.
No entanto, há um problema do qual todos os usuários afetados devem estar completamente cientes: se você reutilizou sua senha do Thingiverse em outro lugar, ela pode comprometer contas com outros serviços.
As senhas com hash precisam de um pouco de explicação. Eles não estão literalmente armazenando os caracteres “mydumbpassword42”, mas, em vez disso, armazenando uma transformação matemática dessa sequência de caracteres, algo como “$ 1 $ B36ccs6lc $ 5WZ5N10quMJ62v5LCu8Jj1”.
Como isso ajuda um hacker a invadir? Na verdade, é muito simples: eles simplesmente usam o mesmo algoritmo de hash e repetidamente por meio de palavras de um dicionário e outras fontes no algoritmo. Se por acaso uma de suas tentativas eventualmente corresponder ao valor de hash armazenado, eles determinaram sua senha a partir do hash.
Essa senha pode então ser reutilizada em qualquer lugar em que seu endereço de e-mail tenha sido usado como o id da conta.
Por exemplo, digamos que você use a mesma senha para sua conta Thingiverse que você também usou em, digamos, sua conta na Amazon. Alguém que inspeciona o arquivo de despejo pode simplesmente fazer login em sua conta da Amazon usando a senha determinada e pedir alguns itens suculentos.
Ou pior, se você usar a mesma senha para o seu serviço bancário, os hackers podem acessar seu dinheiro. Essa é uma razão pela qual todos deveriam considerar a autenticação de dois fatores para serviços críticos. Se “2FA” foi usado neste cenário bancário, o hacker não conseguiu obter acesso porque não está recebendo o código de confirmação que foi para o seu celular.
Outra coisa digna de nota é que o despejo de dados do Thingiverse incluía endereços de e-mail do PayPal. Isso não é bom, pois imediatamente mostraria a um hacker que o indivíduo tem uma conta do PayPal e forneceria a identificação dela. Em seguida, é apenas uma questão de quebrar o hash para entrar na conta do PayPal e transferir o dinheiro para outro lugar.
Existe outra maneira de reduzir sua exposição aqui: sempre, sempre, sempre use senhas muito longas. Isso ocorre porque existem trilhões de possibilidades a mais que os hackers terão de avaliar antes de descobrir sua senha no hash. Alguns irão sugerir o uso de uma variedade de caracteres especiais, mas eles são muito menos importantes do que o comprimento da senha. Em outras palavras, esta senha:
“^% 0 -_ ++ ffZ”
Não é tão eficaz quanto:
“Anel em torno das sete batatas”
O último também é muito mais fácil de lembrar e inserir.
A MakerBot tomou medidas para mitigar o erro humano por trás da exposição. Eles estão mudando seus procedimentos internos para garantir que esse tipo de erro não aconteça novamente, além de revogar todos os tokens expostos.
Finalmente, deve-se dizer que a MakerBot claramente cometeu um erro aqui, e eles foram pegos por um hacker que coletou seus dados. Embora isso os faça parecer ruins, não presuma que outras empresas que não sofreram uma exposição de dados estão lidando melhor com as coisas internamente.
Muitas empresas têm configurações de segurança bastante desleixadas e é apenas uma questão de tempo até que percam o controle de alguns dados. Eles podem não estar nas notícias hoje, mas podem estar no futuro.
Enquanto isso, o melhor conselho é seguir estas três etapas:
- Sempre use uma senha diferente para cada serviço que você usa
- Sempre use senhas muito longas para memorizar quando você tiver permissão para fazê-lo
- Considere usar um gerenciador de senhas profissional para controlar suas credenciais
Conclusão
Apesar de vivermos na era digital, estando conectados o tempo inteiro a diversos tipos de redes e sistemas ambos não são totalmente seguros, isso porque, a tecnologia está em constante mudança e mesmo com ferramentas como blockchain, LGPD, entre outras, os usuários não estão totalmente seguros. No entanto, a ocorrência desses eventos não desqualifica as ferramentas que utilizamos que a cada dia facilitam as nossas atividades. Contudo, é importante tomar alguns cuidados para proteger as suas informações.
Para saber mais sobre como fazer isso leia a matéria completa no site.
Para continuar por dentro das principais notícias do mundo da indústria 4.0 acesse o nosso site.
