stringtranslate.com

Меня обманули?

Have I Been Pwned? [a] ( HIBP ; стилизовано в нижнем регистре как " ';--have i been pwned? ") — веб-сайт, позволяющий пользователям Интернета проверять, были ли их персональные данные скомпрометированы утечками данных . Служба собирает и анализирует сотни дампов и вставок баз данных , содержащих информацию о миллиардах утечек учетных записей, и позволяет пользователям искать свою собственную информацию, вводя свое имя пользователя или адрес электронной почты. Пользователи также могут подписаться на получение уведомлений, если их адрес электронной почты появится в будущих дампах. Сайт широко рекламируется как ценный ресурс для пользователей Интернета, желающих защитить свою собственную безопасность и конфиденциальность. [3] [4] Have I Been Pwned? был создан экспертом по безопасности Троем Хантом 4 декабря 2013 года.

По состоянию на июнь 2019 года сайт Have I Been Pwned? посещают в среднем около ста шестидесяти тысяч человек в день, у сайта почти три миллиона активных подписчиков электронной почты и он содержит записи почти восьми миллиардов аккаунтов. [5]

Функции

Основная функция Have I Been Pwned? с момента его запуска — предоставить широкой общественности возможность проверить, была ли их личная информация украдена или скомпрометирована. Посетители веб-сайта могут ввести адрес электронной почты и увидеть список всех известных утечек данных с записями, привязанными к этому адресу электронной почты. Веб-сайт также предоставляет подробную информацию о каждой утечке данных, например предысторию утечки и какие конкретные типы данных были включены в нее.

Have I Been Pwned? также предлагает услугу «Уведомить меня», которая позволяет посетителям подписываться на уведомления о будущих утечках. Как только кто-то зарегистрируется в этой почтовой службе уведомлений, он будет получать сообщение по электронной почте каждый раз, когда его личная информация будет обнаружена в новой утечке данных.

В сентябре 2014 года Хант добавил функционал, который позволил автоматически добавлять новые утечки данных в базу данных HIBP. Новая функция использовала Dump Monitor, бот Twitter , который обнаруживает и транслирует вероятные дампы паролей, найденные на pastebin pastes, для автоматического добавления новых потенциальных утечек в режиме реального времени. Утечки данных часто появляются на pastebins до того, как о них широко сообщают; таким образом, мониторинг этого источника позволяет потребителям получать уведомления раньше, если они были скомпрометированы. [6]

Наряду с подробным описанием того, какие события утечки данных затронули учетную запись электронной почты, веб-сайт также рекомендует тем, кто появляется в результатах поиска по базе данных, установить менеджер паролей, а именно 1Password , который недавно одобрил Трой Хант. [7] Онлайн-объяснение на его веб-сайте [8] объясняет его мотивы.

Украденные пароли

В августе 2017 года Хант опубликовал 306 миллионов паролей, доступ к которым можно было получить через веб-поиск или загрузить их оптом. [9]

В феврале 2018 года британский ученый-компьютерщик Джунад Али создал протокол связи (использующий k -анонимность и криптографическое хеширование ) для анонимной проверки утечки пароля без полного раскрытия искомого пароля. [10] [11] Этот протокол был реализован как публичный API в сервисе Ханта и теперь используется несколькими веб-сайтами и сервисами, включая менеджеры паролей [12] [13] и расширения для браузеров . [14] [15] Этот подход позже был воспроизведен функцией проверки паролей Google . [16] [17] [18] Али работал с учеными Корнелльского университета , чтобы официально проанализировать протокол для выявления ограничений и разработать две новые версии этого протокола, известные как Frequency Size Bucketization и Identifier Based Bucketization . [19] В марте 2020 года к этому протоколу было добавлено криптографическое заполнение . [20]

История

Запуск

Портретная фотография головы и плеч Троя Ханта. У Ханта светлая кожа и каштановые волосы, которые короткие и зачесаны назад. Он смотрит прямо на зрителя и улыбается, показывая верхний ряд зубов. Он одет в темно-синюю рубашку и находится на темно-зеленом и черном фоне.
Трой Хант, создатель игры Have I Been Pwned?

В конце 2013 года эксперт по веб-безопасности Трой Хант анализировал утечки данных на предмет тенденций и закономерностей. Он понял, что утечки могут сильно повлиять на пользователей, которые могут даже не знать, что их данные были скомпрометированы, и в результате начал разрабатывать HIBP. «Вероятно, главным катализатором был Adobe», — сказал Хант о своей мотивации для запуска сайта, имея в виду утечку безопасности Adobe Systems , которая затронула 153 миллиона аккаунтов в октябре 2013 года. [21]

Хант запустил Have I Been Pwned? 4 декабря 2013 года с объявлением в своем блоге. На тот момент на сайте было проиндексировано всего пять утечек данных: Adobe Systems, Stratfor , Gawker , Yahoo! Voices и Sony Pictures. [22] Однако теперь на сайте появилась возможность легко добавлять будущие утечки, как только они становились общедоступными. Хант написал:

Теперь, когда у меня есть платформа, на которой я могу строить, я смогу быстро интегрировать будущие нарушения и сделать их быстро доступными для поиска людьми, которые могли быть затронуты. Это немного нечестная игра на данный момент — злоумышленники и другие, желающие использовать нарушения данных в вредоносных целях, могут очень быстро получить и проанализировать данные, но у вашего среднестатистического потребителя нет реального способа вытащить гигабайты сжатых учетных записей из торрента и узнать, были ли они скомпрометированы или нет. [22]

Утечки данных

С момента запуска основной задачей разработки HIBP было как можно более быстрое обнаружение новых утечек данных после того, как они стали достоянием общественности.

В июле 2015 года онлайн-сервис знакомств Ashley Madison , известный тем, что поощряет пользователей к внебрачным связям , пострадал от утечки данных , и личности более 30 миллионов пользователей сервиса были раскрыты общественности. Утечка данных получила широкое освещение в СМИ, предположительно из-за большого количества пострадавших пользователей и воспринимаемого стыда за наличие интрижки. По словам Ханта, огласка утечки привела к увеличению трафика на HIBP на 57 000%. [23] После этой утечки Хант добавил в HIBP функционал, с помощью которого утечки, считающиеся «конфиденциальными», не будут доступны для публичного поиска и будут раскрываться только подписчикам системы уведомлений по электронной почте. Эта функция была включена для данных Ashley Madison, а также для данных с других потенциально скандальных сайтов, таких как Adult FriendFinder . [4]

В октябре 2015 года с Хантом связался анонимный источник, который предоставил ему дамп адресов электронной почты 13,5 миллионов пользователей и паролей в виде открытого текста, утверждая, что он пришел от 000webhost, бесплатного провайдера веб-хостинга . Работая с Томасом Фоксом-Брюстером из Forbes , он подтвердил, что дамп, скорее всего, был подлинным, проверив адреса электронной почты из него и подтвердив конфиденциальную информацию у нескольких клиентов 000webhost. Хант и Фокс-Брюстер много раз пытались связаться с 000webhost, чтобы дополнительно подтвердить подлинность взлома, но не смогли получить ответа. 29 октября 2015 года, после сброса всех паролей и публикации статьи Фокса-Брюстера о взломе, 000webhost объявил об утечке данных на своей странице в Facebook . [24] [25]

В начале ноября 2015 года Paysafe Group , материнская компания обоих провайдеров, подтвердила подлинность двух взломов провайдеров азартных игр Neteller и Skrill . Данные включали 3,6 миллиона записей от Neteller, полученных в 2009 году с использованием эксплойта в Joomla , и 4,2 миллиона записей от Skrill (тогда известного как Moneybookers), которые просочились в 2010 году после взлома виртуальной частной сети . Объединенные 7,8 миллиона записей были добавлены в базу данных HIBP. [26]

Позже в том же месяце производитель электронных игрушек VTech был взломан, и анонимный источник в частном порядке предоставил HIBP базу данных, содержащую записи почти пяти миллионов родителей. По словам Ханта, это было четвертое по величине нарушение конфиденциальности потребителей на сегодняшний день. [27]

В мае 2016 года беспрецедентная серия очень крупных утечек данных, которые датируются несколькими годами, были раскрыты в короткий промежуток времени. Эти утечки включали 360 миллионов аккаунтов Myspace примерно с 2009 года, 164 миллиона аккаунтов LinkedIn с 2012 года, 65 миллионов аккаунтов Tumblr с начала 2013 года и 40 миллионов аккаунтов сервиса знакомств для взрослых Fling.com. Все эти наборы данных были выставлены на продажу анонимным хакером под именем «peace_of_mind» и вскоре после этого были предоставлены Ханту для включения в HIBP. [28] В июне 2016 года в базу данных HIBP была добавлена ​​дополнительная «мега-утечка» 171 миллиона аккаунтов из российской социальной сети VK . [29]

В августе 2017 года BBC News опубликовали статью «Меня ограбили?», в которой рассказывалось о том, как Хант раскрыл операцию по рассылке спама, которая осуществлялась по списку из 711,5 миллионов адресов электронной почты. [30]

Неудачная попытка продать

В середине июня 2019 года Хант объявил о планах продать Have I Been Pwned? еще не определенной организации. В своем блоге он изложил свои пожелания по снижению личного стресса и расширению сайта за пределы того, что он мог сделать сам. [5] На момент публикации сообщения в блоге он работал с KPMG, чтобы найти компании, которые, по его мнению, были бы подходящими и заинтересованными в приобретении. Однако в марте 2020 года он объявил в своем блоге, что Have I Been Pwned? останется независимой в обозримом будущем. [31]

Открытый исходный код

7 августа 2020 года Хант объявил в своем блоге о намерении открыть исходный код кодовой базы Have I Been Pwned? [32] Он начал публиковать часть кода 28 мая 2021 года. [33]

Брендинг

Название «Have I Been Pwned?» основано на жаргоне « Script Kids » (« Сценарий для детей »), [21] что означает «взломать или взять под контроль, в частности, другой компьютер или приложение».

Логотип HIBP включает текст ';--, который является обычной строкой атаки SQL-инъекции . Хакер, пытающийся получить контроль над базой данных веб-сайта, может использовать такую ​​строку атаки, чтобы манипулировать веб-сайтом и заставить его запустить вредоносный код. Атаки с использованием инъекций являются одним из наиболее распространенных векторов, с помощью которых может произойти нарушение базы данных; они являются самой распространенной уязвимостью веб-приложений в списке OWASP Top 10. [34]

Смотрите также

Примечания

  1. ^ Произносится / ˈ p n d / POHND [2]

Ссылки

  1. ^ «Мы готовим, что меня взломали Firefox и 1Password». troyhunt.com . 25 июня 2018 г.
  2. ^ Merriam-Webster: Что означает 'Pwn'? И как это произносится?
  3. ^ Сельцер, Ларри (5 декабря 2013 г.). «Как узнать, был ли украден ваш пароль». ZDNet . Получено 18 марта 2016 г.
  4. ^ ab Price, Rob (20 августа 2015 г.). «HaveIBeenPwned.com позволяет вам увидеть, есть ли вы в утечке взлома Ashley Madison». Business Insider . Получено 18 марта 2016 г.
  5. ^ ab "Project Svalbard: The Future of Have I Been Pwned". Трой Хант . 11 июня 2019 г. Получено 11 июня 2019 г.
  6. ^ О'Нил, Патрик Хауэлл (16 сентября 2014 г.). «Как узнать, взломали ли вас, менее чем за минуту». The Daily Dot . Получено 20 мая 2016 г.
  7. ^ «Поиск украденных паролей с помощью 1Password — блог AgileBits». agilebits.com . 22 февраля 2018 г.
  8. ^ «Have I Been Pwned теперь сотрудничает с 1Password». troyhunt.com . 29 марта 2018 г.
  9. ^ "Нужен новый пароль? Не выбирайте один из этих 306 миллионов". Engadget . Получено 29 мая 2018 г. .
  10. ^ «Узнайте, был ли ваш пароль украден, не отправляя его на сервер». Ars Technica . Получено 24 мая 2018 г.
  11. ^ "1Password забивается на проверку 'pwned password' – TechCrunch". techcrunch.com . 23 февраля 2018 г. . Получено 24 мая 2018 г. .
  12. ^ «1Password интегрируется с 'Pwned Passwords' для проверки того, были ли ваши пароли украдены в сети» . Получено 24 мая 2018 г. .
  13. ^ Конгер, Кейт. «1Password поможет вам узнать, взломан ли ваш пароль». Gizmodo . Получено 24 мая 2018 г.
  14. ^ Кондон, Стефани. «Okta предлагает бесплатную многофакторную аутентификацию с новым продуктом One App». ZDNet . Получено 24 мая 2018 г.
  15. ^ Корен, Майкл Дж. «Самая большая в мире база данных взломанных паролей теперь является расширением Chrome, которое автоматически проверяет ваши пароли». Quartz . Получено 24 мая 2018 г.
  16. ^ Вагенсейл I, Пол (5 февраля 2019 г.). «Новое расширение Chrome от Google находит ваши взломанные пароли». www.laptopmag.com .
  17. ^ «Google запускает расширение для проверки паролей, чтобы предупреждать пользователей об утечках данных». BleepingComputer .
  18. ^ Dsouza, Melisha (6 февраля 2019 г.). «Новое расширение Chrome от Google „Password CheckUp“ проверяет, не подвергалось ли ваше имя пользователя или пароль взлому третьей стороной». Packt Hub .
  19. ^ Ли, Люси; Пал, Биджеета; Али, Джунаде; Салливан, Ник; Чаттерджи, Рахул; Ристенпарт, Томас (6 ноября 2019 г.). «Протоколы проверки скомпрометированных учетных данных». Труды конференции ACM SIGSAC 2019 года по компьютерной и коммуникационной безопасности . Нью-Йорк, штат Нью-Йорк, США: ACM. стр. 1387–1403. arXiv : 1905.13737 . Bibcode : 2019arXiv190513737L. doi : 10.1145/3319535.3354229. ISBN 978-1-4503-6747-9. S2CID  173188856.
  20. ^ Али, Джунад (4 марта 2020 г.). "Pwned Passwords Padding (ft. Lava Lamps and Workers)". Блог Cloudflare . Получено 12 мая 2020 г.
  21. ^ ab Coz, Joseph (10 марта 2016 г.). «Возникновение „Have I Been Pwned?“, бесценного ресурса в эпоху хакерства». Vice . Получено 18 марта 2016 г. .
  22. ^ ab Cluley, Graham (5 декабря 2013 г.). «Проверьте, не стали ли вы жертвой утечки данных, с помощью «Have I Been Pwned?»». grahamcluley.com . Получено 20 мая 2016 г.
  23. ^ Раш, Уэйн (28 мая 2016 г.). «Как Трой Хант предупреждает пользователей сети, попавших в ловушку огромных утечек данных». eWeek . Получено 15 июня 2016 г.
  24. ^ Fox-Brewster, Thomas (28 октября 2015 г.). «13 миллионов паролей, по всей видимости, утекли с этого бесплатного веб-хостинга — ОБНОВЛЕНО». Forbes . Получено 20 мая 2016 г.
  25. ^ 000webhost (29 октября 2015 г.). «Мы стали свидетелями взлома базы данных на нашем главном сервере». Facebook . Получено 20 мая 2016 г.{{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
  26. ^ Fox-Brewster, Thomas (30 ноября 2015 г.). «Gambling Darling Paysafe подтверждает, что 7,8 миллиона клиентов пострадали от старых хакерских атак». Forbes . Получено 20 мая 2016 г.
  27. ^ Франчески-Биккьераи, Лоренцо (27 ноября 2015 г.). «Один из крупнейших взломов, который пока что раскрывает данные сотен тысяч детей». Vice . Получено 31 марта 2016 г.
  28. Storm, Darlene (30 мая 2016 г.). «Pwned: 65 миллионов аккаунтов Tumblr, 40 миллионов из Fling, 360 миллионов из MySpace». Computerworld . Архивировано из оригинала 2 июня 2016 г. Получено 15 июня 2016 г.
  29. ^ Уиттакер, Зак (10 июня 2016 г.). «Будут еще «мегавзломы», поскольку конкурирующие хакеры соревнуются за продажи». ZDNet . Получено 15 июня 2016 г.
  30. ^ Kelion, Leo (30 августа 2017 г.). «Гигантский спам-бот захватил 711 миллионов адресов электронной почты». BBC News . Получено 30 августа 2017 г. .
  31. ^ «Проект Шпицберген, я был ограблен и его продолжающаяся независимость». Трой Хант . 3 марта 2020 г. Получено 30 апреля 2020 г.
  32. ^ Хант, Трой (7 августа 2020 г.). «Я открываю исходный код Have I Been Pwned Code Base» . Получено 8 августа 2020 г.
  33. ^ Хант, Трой (27 мая 2021 г.). «Pwned Passwords, Open Source в .NET Foundation и работа с ФБР» . Получено 29 мая 2021 г.
  34. ^ "Top 10 2013-Top 10". OWASP . Получено 20 мая 2016 .

Внешние ссылки

На Викискладе есть медиафайлы по теме « Меня ограбили?» .