Меня поймали? - Have I Been Pwned?

«HIBP» перенаправляется сюда. О школе в Бруклине см. Еврейский институт Боро Парк.
Меня поймали?
Апостроф, точка с запятой и два дефиса, за которыми следует текст «был ли я взломан» и вопросительный знак. Текст черный и окружен черной прямоугольной рамкой с закругленными углами.
Скриншот
Домашняя страница haveibeenpwned.com. На сайте есть белый текст на синем и черном фоне. В центре внимания находится логотип сайта белого цвета. Под логотипом находится поле поиска с надписью «адрес электронной почты или имя пользователя» с кнопкой рядом с надписью «pwned?». Под полем поиска находится ряд статистических данных о размере базы данных веб-сайта. Ниже приведен список из десяти крупнейших нарушений.
Тип сайта
Интернет-безопасность
СделаноТрой Хант
URLиметь.com
Коммерческийда
Постановка на учетНеобязательный
Пользователи2 миллиона проверенных подписчиков электронной почты[1]
Запущен4 декабря 2013 г.; 6 лет назад (2013-12-04)
Текущее состояниеВ сети

Меня поймали? (HIBP, с "Pwned "произносится как" понед ",[2] и, альтернативно, написано с заглавной буквы «был ли я обманут?») - это веб-сайт, который позволяет пользователям Интернета проверять, не были ли их личные данные скомпрометированы утечки данных. Сервис собирает и анализирует сотни дампы базы данных и пасты содержащий информацию о миллиардах просочившихся учетных записей, и позволяет пользователям искать свою собственную информацию, вводя свое имя пользователя или адрес электронной почты. Пользователи также могут подписаться, чтобы получать уведомления, если их адрес электронной почты появится в будущих дампах. Этот сайт широко рекламируется как ценный ресурс для пользователей Интернета, желающих защитить свою безопасность и конфиденциальность.[3][4] Меня поймали? был создан специалистом по безопасности Трой Хант 4 декабря 2013 г.

По состоянию на июнь 2019 года меня пинали? в среднем около ста шестидесяти тысяч посетителей в день, сайт имеет почти три миллиона активных подписчиков электронной почты и содержит записи о почти восьми миллиардах учетных записей.[5]

Функции

Основная функция Have I Been Pwned? с момента запуска - предоставить широкой публике возможность проверить, была ли утечка или скомпрометирована их личная информация. Посетители веб-сайта могут ввести адрес электронной почты и увидеть список всех известных утечек данных с записями, привязанными к этому адресу электронной почты. На веб-сайте также представлена ​​подробная информация о каждом нарушении данных, например предыстория нарушения и какие конкретные типы данных были включены в него.

Меня поймали? также предлагает услугу «Уведомить меня», которая позволяет посетителям подписываться на уведомления о будущих нарушениях. После того, как кто-то подпишется на эту службу рассылки уведомлений, он будет получать сообщение электронной почты каждый раз, когда его личная информация обнаруживается при новой утечке данных.

В сентябре 2014 года Хант добавил функциональность, которая позволила автоматически добавлять новые утечки данных в базу данных HIBP. Новая функция использовала Dump Monitor, Twitter бот, который обнаруживает и передает вероятные дампы паролей, найденные на пастебин паст, чтобы автоматически добавлять новые потенциальные нарушения в режиме реального времени. Нарушения данных часто обнаруживаются в pastebins еще до того, как о них широко сообщается; таким образом, мониторинг этого источника позволяет потребителям быстрее получать уведомления о том, что они были скомпрометированы.[6]

Наряду с подробным описанием того, какие события утечки данных затронули учетную запись электронной почты, веб-сайт также указывает тем, кто появляется в поиске по базе данных, для установки диспетчера паролей, а именно: 1Пароль, который недавно одобрил Трой Хант.[7] Онлайн-объяснение на его сайте [8] объясняет свои мотивы и утверждает, что денежная выгода не является целью этого партнерства.

Взломанные пароли

В августе 2017 года Хант опубликовал 306 миллионов паролей, к которым можно было получить доступ через веб-поиск или загрузить их массово.[9]

В феврале 2018 года британский ученый-компьютерщик Джунаде Али создал протокол связи (используя k-анонимность и криптографическое хеширование ), чтобы анонимно проверить, произошла ли утечка пароля, не раскрывая полностью искомый пароль.[10][11] Этот протокол был реализован как общедоступный API в службе Hunt и теперь используется несколькими веб-сайтами и службами, включая менеджеры паролей[12][13] и расширения браузера.[14][15] Позднее этот подход был воспроизведен Google функция проверки пароля.[16][17][18] Али работал с учеными в Корнелл Университет для формального анализа протокола для выявления ограничений и разработки двух новых версий этого протокола, известных как Бакетизация размера частоты и Бакетизация на основе идентификаторов.[19] В марте 2020 г. криптографическое дополнение был добавлен к этому протоколу.[20]

История

Запуск

Портретная фотография головы и плеч Троя Ханта. У Ханта светлая кожа и каштановые волосы, короткие и зачесанные назад. Он смотрит прямо на зрителя и улыбается, показывая верхний ряд зубов. На нем темно-синяя рубашка на темно-зеленом и черном фоне.
Трой Хант, создатель Have I Been Pwned?

В конце 2013 года эксперт по веб-безопасности Трой Хант анализировал утечки данных на предмет тенденций и закономерностей. Он осознал, что нарушения могут сильно повлиять на пользователей, которые могут даже не знать, что их данные были скомпрометированы, и в результате начал разработку HIBP. «Вероятно, главным катализатором была Adobe», - сказал Хант о своей мотивации для запуска сайта, имея в виду Нарушение безопасности Adobe Systems это затронуло 153 миллиона аккаунтов в октябре 2013 года.[21]

Началась охота. Меня поймали? 4 декабря 2013 г. с объявлением в своем блоге. В то время на сайте было проиндексировано только пять утечек данных: Adobe Systems, Stratfor, Зевак, Yahoo! Голоса и Sony Pictures.[22] Однако теперь на сайте появилась возможность легко добавлять будущие нарушения, как только они будут опубликованы. Хант писал:

Теперь, когда у меня есть платформа для создания, я смогу быстро интегрировать будущие нарушения и сделать их доступными для поиска для людей, которые могли быть затронуты. На данный момент это немного нечестная игра - злоумышленники и другие лица, желающие использовать утечки данных в злонамеренных целях, могут очень быстро получить и проанализировать данные, но средний потребитель не имеет реального способа получить гигабайты сжатый счета из торрент и выясняя, были ли они скомпрометированы.[22]

Нарушение данных

С момента запуска HIBP основное внимание уделялось тому, чтобы как можно быстрее добавлять новые утечки данных после того, как они станут достоянием общественности.

В июле 2015 года сервис онлайн-знакомств Эшли Мэдисон, известный тем, что побуждает пользователей к внебрачным отношениям дела, пострадал нарушение данных, а личности более 30 миллионов пользователей сервиса стали известны общественности. Нарушение данных получило широкое освещение в СМИ, по-видимому, из-за большого количества затронутых пользователей и ощущаемого стыда за роман. По словам Ханта, публичность взлома привела к увеличению трафика на HIBP на 57 000%.[23] После этого нарушения Hunt добавил в HIBP функциональные возможности, благодаря которым нарушения, считающиеся «конфиденциальными», не будут доступны для публичного поиска и будут раскрыты только подписчикам системы уведомлений по электронной почте. Эта функция была включена для данных Эшли Мэдисон, а также для данных с других потенциально скандальных сайтов, таких как Взрослый FriendFinder.[4]

В октябре 2015 года с Хантом связался анонимный источник, который предоставил ему дамп из 13,5 миллионов адресов электронной почты пользователей и паролей в виде открытого текста, утверждая, что они пришли с 000webhost, бесплатного веб хостинг провайдер. Работа с Томасом Фокс-Брюстером из Forbes, он подтвердил, что дамп, скорее всего, был законным, проверив адреса электронной почты из него и подтвердив конфиденциальную информацию у нескольких клиентов 000webhost. Хант и Фокс-Брюстер много раз пытались связаться с 000webhost, чтобы подтвердить подлинность взлома, но не смогли получить ответа. 29 октября 2015 года, после сброса всех паролей и публикации статьи Fox-Brewster о взломе, 000webhost объявили об утечке данных через свои Facebook страница.[24][25]

В начале ноября 2015 года два нарушения платежных систем для азартных игр Neteller и Skrill были подтверждены Группа Paysafe, материнская компания обоих провайдеров. Данные включали 3,6 миллиона записей из Neteller, полученных в 2009 году с помощью эксплойта в Joomla и 4,2 миллиона записей из Skrill (тогда известного как Moneybookers), которые просочились в 2010 году после виртуальная частная сеть был скомпрометирован. В базу данных HIBP было добавлено 7,8 миллиона записей.[26]

Позже в том же месяце производитель электронных игрушек VTech был взломан, и анонимный источник в частном порядке предоставил HIBP базу данных, содержащую почти пять миллионов записей родителей. По словам Ханта, это был четвертый по величине конфиденциальность потребителей нарушение на сегодняшний день.[27]

В мае 2016 года за короткий промежуток времени была опубликована беспрецедентная серия очень крупных утечек данных, произошедшая несколько лет назад. Эти нарушения включают 360 миллионов Мое пространство счетов примерно с 2009 года, 164 миллиона LinkedIn счетов с 2012 года, 65 млн Tumblr аккаунтов с начала 2013 года и 40 миллионов аккаунтов сервиса знакомств для взрослых Fling.com. Все эти наборы данных были выставлены на продажу анонимным хакером по имени «peace_of_mind», а вскоре после этого были предоставлены Ханту для включения в HIBP.[28] В июне 2016 года произошла дополнительная «мега-взлом» 171 млн аккаунтов в российской социальной сети. ВКонтакте был добавлен в базу данных HIBP.[29]

В августе 2017 г. Новости BBC признакам Был ли я взят? об обнаружении Хантом рассылки спама по списку из 711,5 миллионов адресов электронной почты.[30]

Неудачная попытка продать

В середине июня 2019 года Хант объявил о планах продажи Have I Been Pwned? организации, которую еще предстоит определить. В своем блоге он изложил свои пожелания уменьшить личный стресс и расширить сайт за пределы того, что он мог сделать самостоятельно.[5] На момент публикации сообщения в блоге он работал с KPMG над поиском компаний, которые он считал подходящими и которые были заинтересованы в приобретении. Однако в марте 2020 года он объявил в своем блоге, что меня поймали? останется независимым в обозримом будущем.[31]

Открытый исходный код

7 августа 2020 года Хант объявил в своем блоге о своем намерении открыть исходный код книги Have I Been Pwned? кодовая база. [32]

Брендинг

Название "Меня обманули?" основан на сценарий kiddie жаргонный термин "pwn ", что означает" поставить под угрозу или взять под контроль другой компьютер или приложение ".

Логотип HIBP включает текст ';--, что является обычным SQL-инъекция строка атаки. Хакер, пытающийся получить контроль над базой данных веб-сайта, может использовать такую ​​строку атаки, чтобы заставить веб-сайт запустить вредоносный код. Инъекционные атаки являются одним из наиболее распространенных векторов взлома базы данных; они являются самой распространенной уязвимостью веб-приложений №1 на OWASP Список 10 лучших.[33]

Смотрите также

Рекомендации

  1. ^ «Мы выпекаем, меня пилили в Firefox и 1Password». troyhunt.com. 25 июня 2018.
  2. ^ Мерриам-Вебстер: Что означает «Pwn»? А как это сказать?
  3. ^ Зельцер, Ларри (5 декабря 2013 г.). «Как узнать, украли ли ваш пароль». ZDNet. Получено 18 марта 2016.
  4. ^ а б Прайс, Роб (20 августа 2015). "HaveIBeenPwned.com позволяет узнать, не попали ли вы в утечку взлома Эшли Мэдисон". Business Insider. Получено 18 марта 2016.
  5. ^ а б "Проект Шпицберген: будущее игры" Have I Beened ". Трой Хант. 11 июн 2019. Получено 11 июн 2019.
  6. ^ О'Нил, Патрик Хауэлл (16 сентября 2014 г.). "Как узнать, что вас взломали менее чем за минуту". Daily Dot. Получено 20 мая 2016.
  7. ^ «Поиск введенных паролей с помощью 1Password - блог AgileBits». agilebits.com. 22 февраля 2018.
  8. ^ "Have I Been Pwned теперь сотрудничает с 1Password". troyhunt.com. 29 марта 2018.
  9. ^ «Нужен новый пароль? Не выбирайте один из этих 306 миллионов». Engadget. Получено 29 мая 2018.
  10. ^ «Узнайте, был ли введен ваш пароль, не отправляя его на сервер». Ars Technica. Получено 24 мая 2018.
  11. ^ "1Password болтает при проверке" введенного пароля "- TechCrunch". techcrunch.com. Получено 24 мая 2018.
  12. ^ «1Password интегрируется с« Pwned Passwords », чтобы проверить, не просочились ли ваши пароли в Интернет». Получено 24 мая 2018.
  13. ^ Конгер, Кейт. «1Password поможет вам узнать, взломан ли ваш пароль». Gizmodo. Получено 24 мая 2018.
  14. ^ Кондон, Стефани. «Okta предлагает бесплатную многофакторную аутентификацию с новым продуктом One App | ZDNet». ZDNet. Получено 24 мая 2018.
  15. ^ Корен, Майкл Дж. «Самая большая в мире база данных взломанных паролей теперь является расширением Chrome, которое автоматически проверяет ваш». Кварцевый. Получено 24 мая 2018.
  16. ^ Wagenseil I, Пол. "Новое расширение Google Chrome находит ваши взломанные пароли". www.laptopmag.com.
  17. ^ «Google запускает расширение для проверки пароля, чтобы предупреждать пользователей о взломе данных». КровотечениеКомпьютер.
  18. ^ Дсуза, Мелиша (6 февраля 2019 г.). «Новое расширение Google Chrome 'Password CheckUp' проверяет, не было ли ваше имя пользователя или пароль взломано третьими лицами». Packt Hub.
  19. ^ Ли, Люси; Пал, Биджита; Али, Джунаде; Салливан, Ник; Чаттерджи, Рахул; Ристенпарт, Томас (6 ноября 2019 г.). «Протоколы проверки взломанных учетных данных». Материалы конференции ACM SIGSAC 2019 по компьютерной и коммуникационной безопасности. Нью-Йорк, Нью-Йорк, США: ACM: 1387–1403. arXiv:1905.13737. Bibcode:2019arXiv190513737L. Дои:10.1145/3319535.3354229. ISBN  978-1-4503-6747-9.
  20. ^ Али, Джунаде (4 марта 2020 г.). "Заполнение выдаваемых паролей (ft. Lava Lamps and Workers)". Блог Cloudflare. Получено 12 мая 2020.
  21. ^ Coz, Джозеф (10 марта 2016 г.). «Возникновение бесценного ресурса в эпоху хакерства» «Меня поймали?». Порок. Получено 18 марта 2016.
  22. ^ а б Клули, Грэм (5 декабря 2013 г.). "Проверьте, не стали ли вы жертвой утечки данных, с помощью 'Have I Been Pwned?'". grahamcluley.com. Получено 20 мая 2016.
  23. ^ Раш, Уэйн (28 мая 2016 г.). «Как Трой Хант предупреждает веб-пользователей, попавших в ловушку огромных утечек данных». eWeek. Получено 15 июн 2016.
  24. ^ Фокс-Брюстер, Томас (28 октября 2015 г.). «13 миллионов паролей, по всей видимости, просочились с этого бесплатного веб-хостинга - ОБНОВЛЕНО». Forbes. Получено 20 мая 2016.
  25. ^ 000webhost (29 октября 2015 г.). «Мы стали свидетелями взлома базы данных на нашем основном сервере». Facebook. Получено 20 мая 2016.
  26. ^ Фокс-Брюстер, Томас (30 ноября 2015 г.). «Gambling Darling Paysafe подтверждает, что 7,8 миллиона клиентов попали в эпические старые хаки». Forbes. Получено 20 мая 2016.
  27. ^ Франчески-Биккьерай, Лоренцо (27 ноября 2015 г.). «Один из крупнейших хакерских атак, раскрывающий данные о сотнях тысяч детей». Порок. Получено 31 марта 2016.
  28. ^ Сторм, Дарлин (30 мая 2016 г.). «Разграблено: 65 миллионов аккаунтов в Tumblr, 40 миллионов из Fling, 360 миллионов из MySpace». Computerworld. Получено 15 июн 2016.
  29. ^ Уиттакер, Зак (10 июня 2016 г.). «Грядут еще« мега-взломы », поскольку конкурирующие хакеры борются за продажи». ZDNet. Получено 15 июн 2016.
  30. ^ Келион, Лев (30 августа 2017 г.). «Гигантский спам-бот собрал 711 миллионов адресов электронной почты». Новости BBC. Получено 30 августа 2017.
  31. ^ "Проект Шпицберген, меня обманули и его постоянная независимость". Трой Хант. 3 марта 2020 г.. Получено 30 апреля 2020.
  32. ^ Охота, Трой. «Я открываю исходный код базы кода« Был ли я взят ». Получено 8 августа 2020.
  33. ^ «Топ 10 2013 - Топ 10». OWASP. Получено 20 мая 2016.

внешняя ссылка