Un fichier de sauvegarde de la plateforme d’impression 3D Thingiverse circulerait sur le web depuis presque exactement un an. Le fichier de 36 gigaoctets contenait environ 228 000 adresses électroniques et d’autres données personnelles, y compris des mots de passe faiblement cryptés, selon un rapport de l’Office européen de lutte antifraude (OLAF). Violation de données aujourd’hui.

La fuite a été rendue publique par Troy Hunt, qui sur son service de vérification de mot de passe HaveIBeenPwned offre désormais la possibilité de vérifier ses propres données d’accès à Thingiverse. Le fichier a été publié sur le forum de pirates RaidForums le 13 octobre 2020 et est disponible depuis lors. En plus des données sur les modèles 3D, selon son analyse, des noms d’utilisateurs, des adresses électroniques et IP et des adresses physiques peuvent être trouvés dans la fuite de données.

Mots de passe également affectés

Les mots de passe ne sont inclus que sous forme cryptée – cependant non salé et chiffré à l’aide des algorithmes bcrypt et SHA-1, qui sont considérés comme peu sûrs. Gina Häußge, responsable du logiciel d’impression 3D Octoprint3D, conseille donc de changer immédiatement le mot de passe et a fourni a également fourni des instructions pour le faire sur Twitter.

Jusqu’à présent, aucune déclaration publique n’a été faite par l’opérateur de la plateforme, le fabricant d’imprimantes 3D Makerbot. Violation de données aujourd’hui. Pendant ce temps, le compte Thingiverse sème la confusion sur Twitter. A premier tweet a conseillé de mettre à jour le mot de passe et s’est excusé pour le « désagrément ». Les utilisateurs concernés avaient déjà été informés et l’erreur interne qui a conduit à la fuite des données « non sensibles » était déjà traitée. Un clarification ultérieure mais cela ne concernait qu’une autre fuite, plus petite.