Thingiverse-database met gegevens van 228.000 gebruikers circuleert op internet

Een database van 36GB met daarin gegevens van 228.000 accounts van Thingiverse blijkt al meer dan een jaar te circuleren op fora van kwaadaardige hackers. Naast e-mail- en IP-adressen gaat het om volledige namen die gebruikers ingevoerd kunnen hebben.

Het back-upbestand van 36GB bevat 228.000 unieke e-mailadressen. Het bestand verscheen een jaar geleden op internet. De MySQL-database circuleert sindsdien op internet, meldt Troy Hunt van Have I Been Pwned aan DataBreach Today. Volgens hem is de oudste entry in de database van zeker tien jaar geleden en bevat de database ook volledige namen. De wachtwoorden zijn met bcrypt gehashed en dus niet in platte tekst beschikbaar. Onduidelijk is of ook PayPal-gebruikersnamen onderdeel zijn van het datalek.

Het bestand werd vorige week naar verluidt ontdekt door Twitter-gebruiker Pompompurin. Die meldt aan DataBreach Today dat een vriend van hem Thingiverse en moederbedrijf MakerBot probeerde te waarschuwen, maar geen antwoord kreeg. Daarop zou die vriend een sample van het datalek op een forum gezet hebben waar vaak tegen betaling dit soort gestolen bestanden aangeboden worden.

Vervolgens probeerde Troy Hunt contact te leggen met MakerBot en Thingiverse, maar slaagde daar aanvankelijk niet in. Na een oproep kreeg hij te horen dat MakerBot de zaak aan het bekijken was. Omdat een publieke melding van het bedrijf dat het met een datalek te maken had uitbleef, besloot Hunt deze via Have I Been Pwned bekend te maken.

Thingiverse is een site waar gebruikers ontwerpen voor onder andere 3D-printers kunnen delen onder een GNU General Public License of Creative Commons-licentie.

Thingiverse-screenshot

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 14-10-2021 16:47
44 • submitter: citruspers

14-10-2021 • 16:47

44

Submitter: citruspers

Lees meer

Datalekzoekmachine Have I Been Pwned is tien jaar oud
Datalekzoekmachine Have I Been Pwned is tien jaar oud .Geek van 4 december 2023
Anker wil 3d-printer uitbrengen die met 250mm/s kan printen
Anker wil 3d-printer uitbrengen die met 250mm/s kan printen Nieuws van 6 april 2022
Accountgegevens buitgemaakt bij hack en ransomwareaanval OpenSubtitles.org
Accountgegevens buitgemaakt bij hack en ransomwareaanval OpenSubtitles.org Nieuws van 19 januari 2022
Have I Been Pwned voegt wachtwoorden van 7,5 miljoen DatPiff-leden toe
Have I Been Pwned voegt wachtwoorden van 7,5 miljoen DatPiff-leden toe Nieuws van 5 januari 2022
3D Ninja bouwt zoekmachine voor 3d-modellen
3D Ninja bouwt zoekmachine voor 3d-modellen Nieuws van 12 mei 2017
Meer producten en artikelen
Beveiliging en antivirus 3D Printers MakerBot Datalek

Reacties (44)

-Moderatie-faq
44
44
18
5
0
24
Wijzig sortering
Xm0ur3r 14 oktober 2021 16:55
Ik snap nooit zo goed dat zoveel bedrijven besluiten alles te negeren en het ook niet publiekelijk bekend te maken? Je kan er toch donder op zeggen dat de personen het uiteindelijk wel via andere kanalen communiceren en dan loop je meer imago-schade op dan zelf publiceren en gewoon erkennen?
kvdveer @Xm0ur3r14 oktober 2021 17:14
Ik denk niet dat het bewust negeren is.

Als je als bedrijf een plek hebt waar mensen security-problemen kunnen melden, krijg je te maken met een oneindige stroom van bullshit-vulnerabilities. Dingen als "ik zie dat port 22 open staat, daar kan een hacker zo naar verbinden!, mag ik nu een bugbounty?". Het is voor bedrijven heel moeilijk om het kaf van het koren te scheiden.

Het is echt heel makkelijk om een "goede" melding te missen, vooral als de reporter niet echt uitgebreid te tijd neemt om uit te leggen wat er echt aan de hand is.
The Zep Man
@kvdveer14 oktober 2021 22:39
Als je als bedrijf een plek hebt waar mensen security-problemen kunnen melden, krijg je te maken met een oneindige stroom van bullshit-vulnerabilities. Dingen als "ik zie dat port 22 open staat, daar kan een hacker zo naar verbinden!, mag ik nu een bugbounty?". Het is voor bedrijven heel moeilijk om het kaf van het koren te scheiden.
Zo moeilijk is dat niet. Het is niet zo alsof er een oneindige stroom mails binnen komen op dit soort adressen. Classificeren en sorteren, zodat je herhaalde (onzin)meldingen snel kan verwerken.
Wraldpyk @The Zep Man15 oktober 2021 11:28
Ik ben werkzaam geweest bij een bedrijf met een relatief kleine userbase die tooling gebruikte, niet in de buurt komende van de bekendheid en grootte van Thingiverse, en daar kwamen op een gemiddelde dag tientallen meldingen binnen. Auto-sorteren op keywords ging vaker mis als goed want elke mail was weer anders en gebruikte andere keywords, en legit meldingen werden daardoor ook gefiltered, dus moest het handmatig gebeuren.

Dan moet er ook nog een persoon naar kijken die bekend is met de technische termen die gebruikt worden, een trial om het iemand te laten doen die niet veel technische kennis had was natuurlijk mislukt.

Het kostte daardoor elke dag sowieso een half uur werk om deze meldingen te sorteren, door iemand die daardoor langer als dat bezig had kunnen zijn met onwikkeling, en daar ook voor nodig was geweest. Het is dus natuurlijk wel mogelijk dit te doen, maar het kost tijd. Misschien bij een groter bedrijf wel een FTE. Dat is een hoop geld voor bijna geen voordeel, want het is vooral weggegooide tijd aan meldingen waar je niets aan hebt.
Stijnvi @Xm0ur3r14 oktober 2021 17:46
Het is inderdaad verre van slim om het proberen te verbergen
Volgens Kaspersky bespaar je als bedrijf gemiddeld zo'n 28% als je er zelf open en eerlijk over bent in plaats van dat de media het als eerste naar buiten brengt
ManIkWeet
14 oktober 2021 16:55
De zoveelste spijker in de koffer van die website, ontwikkeling staat al jaren stil.
En het blijkt een mysql database te zijn, die zijn toch achterhaald in commerciële producten?
Genoeg betere alternatieven die wel je login onthouden en snel zijn...
Edit: blijkbaar niks mis met mysql, ik heb dat verkeerd begrepen ergens :)

[Reactie gewijzigd door ManIkWeet op 22 juli 2024 22:54]

Oon @ManIkWeet14 oktober 2021 17:13
Welke alternatieven zijn er voor Thingiverse dan? Alle andere sites die ik kan vinden pushen je om models te kopen die gratis op Thingiverse staan en hebben verder maar weinig echt interessante content voor 3D-printen
PjotrStroganov @Oon14 oktober 2021 17:27
Qua schaal en historie is thingiverse jammer genoeg nog altijd dé site om naar toe te gaan.

Prusaprinters is gewoonweg goed. De site wordt actief ontwikkeld en er is veel interactie van prusa met de community. Ook is er naar mijn weten geen mogelijkheid om geld te vragen voor modellen.

Cults3d is ook niet slecht. Zeker als je net als op thingiverse oudere modellen wilt downloaden. Naar mijn mening bestaat het aanbod uit een goede mix van gratis en betaalde modellen.

Myminifactory is naar mijn mening wat minder geworden om de redenen die je zelf noemt. Ze pushen meer en meer betaalde content, waardoor het gratis spul ondergesneeuwd raakt.

Andere sites gebruik ik eerlijk gezegd niet. Een site als Thangs is blijkbaar in opkomst, maar op één of andere manier staat het uiterlijk me niet echt aan.

[Reactie gewijzigd door PjotrStroganov op 22 juli 2024 22:54]

citruspers @PjotrStroganov14 oktober 2021 19:00
>Myminifactory is naar mijn mening wat minder geworden om de redenen die je zelf noemt. Ze pushen meer en meer betaalde content, waardoor het gratis spul ondergesneeuwd raakt.

Myminifactory heeft ook uitgebreide spamcampagnes gehad waarin ze gebruikers van Thingiverse priveberichten gingen sturen om ze over te halen hun modellen op MMF te uploaden. Dat is voor mij reden genoeg om ze te vermijden. Dat ze nu pushen voor het verkopen van modellen (ongetwijfeld met commissie) verbaast me op zich niet.

Voorbeeld van zo'n spambericht wat ik van ze heb gekregen op Thingiverse (verzonden vanaf een random user account):
anelka190 sent you a new message:

Hi there, Lena here from My Mini Factory. We are a 3D modelling platform with 30k+ verified and printable 3D models, 5k active designers and 200k users. The link here https://www.myminifactory.com/. I saw your designs and it would be really interesting to our community. Maybe would you be open to sharing it with our community? We could feature your work to 60,000 of our email subscribers, while also sharing on social media too. I think your work has an audience with our community and that’s why we want to promote it. Please let me know if you interested :) Best, Lena
Peetke @Oon14 oktober 2021 17:20
YouMagine is een goed alternatief. Dat is een op zichzelfstaand initiatief voor delen van vrije ontwerpen. Ooit uitgebouwd door Ultimaker!
WillySis @Oon14 oktober 2021 17:23
Deze https://www.prusaprinters.org/prints wordt steeds beter gevuld met gratis content. Zo langzamerhand is hier al best veel te vinden.
HooksForFeet @Oon14 oktober 2021 19:05
Aan de reacties op deze post kan je meteen zien wat het probleem is: iedereen noemt een andere site als alternatief, en al die site hebben "ook wel iets" maar het aanbod is enorm verdeeld. Thingiverse is nog steeds dé site waar het sowieso op staat als het gratis te vinden is.
MsG @Oon14 oktober 2021 17:30
https://www.myminifactory.com/ bijvoorbeeld. Yeggi is ook een interessante zoekmachine voor STL's.
ManIkWeet
@Oon14 oktober 2021 18:53
thangs.com maakt veel reclame, volgens mij is daar best veel te vinden
horizon1978 @Oon15 oktober 2021 03:35
Cults3d.com

En als je ziet hoeveel tijd en werk in sommige designs zit dan begrijp ik dat designers er en beetje geld voor vragen.
Oon @horizon197815 oktober 2021 08:43
Je hebt mijn comment niet goed gelezen :)

Gaat mij er niet om dat ze er geld voor vragen, maar dat ze geld vragen voor models die gratis op Thingiverse staan en waar ze helemaal geen recht op hebben.
horizon1978 @Oon15 oktober 2021 11:13
Dat ligt aan de ontwerper die ze heeft geupload.
Oon @horizon197815 oktober 2021 11:19
Ook dat is mijn punt helemaal niet. Als een ontwerper z'n eigen ontwerp upload en er geld voor vraagt is dat super, dat recht hebben ze. Er zijn alleen veel sites die 3D models aanbieden van anderen en er dan geld voor vragen. Die sites staan dus vol met models die door iemand anders geupload zijn dan de eigenaar ervan.
horizon1978 @Oon15 oktober 2021 11:44
Dat is niet correct. Eens.
frietsje @Oon15 oktober 2021 09:44
En https://searchthingiverse.com/ is ideaal om te zoeken op Thingiverse, aangezien hun eigen zoekfunctie te wensen overlaat.
Luchtbakker @ManIkWeet14 oktober 2021 16:58
De zoveelste spijker in de koffer van die website, ontwikkeling staat al jaren stil.
En het blijkt een mysql database te zijn, die zijn toch achterhaald in commerciële producten?
Genoeg betere alternatieven die wel je login onthouden en snel zijn...
Ik zou niet weten wat er mis is met MySQL. Alles valt op staat met updaten van je spul.

[Reactie gewijzigd door Luchtbakker op 22 juli 2024 22:54]

johnny2000 @ManIkWeet14 oktober 2021 16:59
Pardon? Er is helemaal niets mis met MySQL / MariaDB in de Enterprise. Niet dat het geschikt is voor alles, maar dat is een andere discussie.

Feit is wel dat het slordig is om backups zo te laten slingeren.
T-Forever @ManIkWeet14 oktober 2021 16:56
Moet jij er voor betalen dan?
AmigaWolf @ManIkWeet14 oktober 2021 19:37
De zoveelste spijker in de koffer van die website, ontwikkeling staat al jaren stil.
En het blijkt een mysql database te zijn, die zijn toch achterhaald in commerciële producten?
Genoeg betere alternatieven die wel je login onthouden en snel zijn...
Edit: blijkbaar niks mis met mysql, ik heb dat verkeerd begrepen ergens :)
Ja erg vervelend dit, maar ik zelf heb geen account bij Thingiverse, maar heb er al heel wat stl bestanden van afgehaald, en uitgeprint.
ManIkWeet
@AmigaWolf14 oktober 2021 21:52
Ik heb een account voor wat designs en collectie van dingen geprint/te printen.

Achteraf niet veel mee gedaan, dus ik kan me voorstellen dat niet veel mensen een account hebben
AmigaWolf @ManIkWeet14 oktober 2021 22:07
Aha ok, wat gebruik jij om je 3D voorwerpen te maken.
ManIkWeet
@AmigaWolf15 oktober 2021 07:55
Zoveel maak ik nou ook weer niet, maar primair Fusion 360, niet super maar wel gratis. Freecad staat op mijn lijst om een keer te leren, maar is moeilijker te gebruiken
AmigaWolf @ManIkWeet15 oktober 2021 14:30
Zoveel maak ik nou ook weer niet, maar primair Fusion 360, niet super maar wel gratis. Freecad staat op mijn lijst om een keer te leren, maar is moeilijker te gebruiken
Ok bedank, zal ik kijken hoe primair Fusion 360 werkt.
PjotrStroganov 14 oktober 2021 16:59
Thingiverse is een site dat al een hele tijd problemen ondervind door het wandbeleid van Makerbot. Teveel mensen die verder niet een Makerbot printer hebben, maken gebruik van thingiverse om hun stl’s te uploaden. Geld levert het niet meer op en het lijkt vooral een blok aan het been te zijn geworden van de ontwikkelaar.

Met dit in het achterhoofd verbaasd het me niet dat dit soort leaks voorkomen. Alternatieven zijn jammer genoeg nog niet zo groot als thingiverse, maar ze zijn er wel. Ik upload de laatste tijd steeds meer naar prusaprinters. Met dit nieuws wordt ik een stuk terughoudender om nog te uploaden naar thingiverse.
Tommy_K @PjotrStroganov14 oktober 2021 17:17
De overname van Makerbot door Stratesys heeft jaren geleden al voor de omslag in doelstellingen teweeg gebracht. de soft en firmware zijn toen ook van open source afgegaan en waar Makerbot initieel een focus had op de community om op die manier verkopen te stimuleren zocht Stratesys meer een eenvoudige melkkoe om ook van de consumentenmarkt een graantje mee te pikken.

Dezelfde verzakeling is ook in andere plaatsen van het 3d printen te vinden zoals de veranderingen aan 3D hubs van een 5iver achtige site naar een puur zakelijk gerichte dienst.
Helium-3 14 oktober 2021 17:25
Ik maakte graag gebruik van Thingiverse. Hoewel traag als s-t-r-o-o-p is het een van de weinige websites die het makkelijk en gratis delen van 3D modellen zo goed faciliteert. (Ja, ik ben op de hoogte van en maak ook gebruik van alternatieven)

Anyway, hier de inhoud van het mailjte dat ik ontving van HIBP voor de geïnterreseerden: (zo ziet dat dus er uit als je aangemeld bent voor de dienst)
You've been pwned!
You signed up for notifications when your account was pwned in a data breach and unfortunately, it's happened. Here's what's known about the breach:

Email found:
mijn email @ adres
Breach:
Thingiverse
Date of breach:
13 Oct 2020
Number of accounts:
228,102
Compromised data:
Dates of birth, Email addresses, IP addresses, Names, Passwords, Physical addresses, Usernames
Description:
In October 2021, a database backup taken from the 3D model sharing service Thingiverse began extensively circulating within the hacking community. Dating back to October 2020, the 36GB file contained 228 thousand unique email addresses, mostly alongside comments left on 3D models. The data also included usernames, IP addresses, full names and passwords stored as either unsalted SHA-1 or bcrypt hashes. In some cases, physical addresses was also exposed. Thingiverse's owner, MakerBot, is aware of the incident but at the time of writing, is yet to issue a disclosure statement. The data was provided to HIBP by dehashed.com.
mclegodude 14 oktober 2021 17:34
Hoe zit het als je hier met je Google account via SSO ingelogd bent?
Larsb8 @mclegodude15 oktober 2021 10:31
Dit vraag ik mij eigenlijk ook af, heb jij inmiddels al enig idee?
mclegodude @Larsb815 oktober 2021 12:50
Nope, ook geen mail gehad verder...
HooksForFeet 14 oktober 2021 19:06
Nog steeds geen mail gehad van Thingiverse. Best kwalijk dit.
gday @HooksForFeet15 oktober 2021 11:38
Ik ook niet, maar volgens mij heb ik m’n account pas aangemaakt na de datum waarop die backup gemaakt is in oktober 2020. Ik denk dat ik eind oktober 2020 een account heb aangemaakt.
Point.Flare 14 oktober 2021 20:16
Typisch wel weer. Ik heb al sinds jaar en dag een account op Thingiverse. Ik browse er nog af en toe op. Maar die site is kapot aan alle kanten. Er zijn maar weinig dingen in het leven nuttelozer dan de "remember me" knop op thingiverse. De community is dood. Zoekfunctie is ronduit shit. Jammer dat initiatieven als youmagine (van ons eigenste Nederlandse Ultimaker) nooit goed van de grond is gekomen. Inmiddels is het landschap van dat soort sites vol, maar er is er geeneen die er bovenuit springt. Alle aandacht voor 3d printing de afgelopen jaren ten spijt, blijft het in het hobby circuit.
horizon1978 @Point.Flare15 oktober 2021 03:37
3dcults werkt wel goed.
Anoniem: 30722 14 oktober 2021 18:19
Nouja, geloof dat alle data toch al elders ook gelekt is... kan er ook nog wel bij ;)
Helaas zijn er weinig echt goede alternatieven voor deze site, dus deel hier altijd mijn ontwerpen en haal ze er ook graag vandaan...
enriqueeeee @Anoniem: 3072214 oktober 2021 18:32
Prusaprinters is een goed alternatief.
Voorheen stond er alleen gcode op maar tegenwoordig ook de stl
HeAdWaVe74 15 oktober 2021 09:40
Heeft iemand al geprobeerd zijn wachtwoord te veranderen.

Ik heb het nog niet gevonden.. ligt het aan mij of aan thingiverse
gday @HeAdWaVe7415 oktober 2021 11:44
Account settings > Makerbot account

Daar kun je het wijzigen.
HeAdWaVe74 @gday18 oktober 2021 08:05
dank je!
Frans G 15 oktober 2021 16:14
Een goede vervanger is https://cults3d.com/en
Ze hebben zelfs een soort plug-in om alles van je Thingiverse account automatisch over te zetten.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq