Меня поймали? ( HIBP , где « Pwned » произносится как «poned», [2] и, альтернативно, пишется с заглавной буквы «был ли я pwned?») - это веб-сайт, который позволяет пользователям Интернета проверять, были ли их личные данные скомпрометированы в результате утечки данных . Сервис собирает и анализирует сотни дампов и вставок баз данных.содержит информацию о миллиардах просочившихся учетных записей и позволяет пользователям искать собственную информацию, вводя свое имя пользователя или адрес электронной почты. Пользователи также могут подписаться, чтобы получать уведомления, если их адрес электронной почты появится в будущих дампах. Этот сайт широко рекламировался как ценный ресурс для пользователей Интернета, желающих защитить свою безопасность и конфиденциальность. [3] [4] Меня поймали? был создан экспертом по безопасности Троем Хантом 4 декабря 2013 года.
Скриншот | |
Тип сайта | Интернет-безопасность |
---|---|
Создано | Трой Хант |
URL | haveibeenpwned |
Коммерческий | да |
Регистрация | По желанию |
Пользователи | 2 миллиона подтвержденных подписчиков электронной почты [1] |
Запущен | 4 декабря 2013 г . |
Текущее состояние | В сети |
По состоянию на июнь 2019 года меня пинали? в среднем около ста шестидесяти тысяч посетителей в день, сайт имеет почти три миллиона активных подписчиков электронной почты и содержит записи о почти восьми миллиардах учетных записей. [5]
Функции
Основная функция Have I Been Pwned? поскольку он был запущен, он должен предоставить широкой публике возможность проверить, была ли утечка или скомпрометирована их личная информация. Посетители веб-сайта могут ввести адрес электронной почты и увидеть список всех известных утечек данных с записями, привязанными к этому адресу электронной почты. На веб-сайте также представлена подробная информация о каждом нарушении данных, например предыстория нарушения и какие конкретные типы данных были включены в него.
Меня поймали? также предлагает услугу «Уведомить меня», которая позволяет посетителям подписываться на уведомления о будущих нарушениях. После того, как кто-то подпишется на эту службу рассылки уведомлений, он будет получать сообщение электронной почты каждый раз, когда его личная информация обнаруживается в результате нового нарушения данных.
В сентябре 2014 года Хант добавил функциональность, которая позволила автоматически добавлять новые утечки данных в базу данных HIBP. Новая функция использовала Dump Monitor, бот Twitter, который обнаруживает и транслирует вероятные дампы паролей, обнаруженные в pastebin- пастах, для автоматического добавления новых потенциальных нарушений в режиме реального времени. Утечки данных часто обнаруживаются в pastebins еще до того, как о них широко сообщается; таким образом, мониторинг этого источника позволяет потребителям быстрее получать уведомления о том, что они были скомпрометированы. [6]
Наряду с подробным описанием того, какие события утечки данных затронули учетную запись электронной почты, веб-сайт также указывает тем, кто появляется в их поиске по базам данных, для установки менеджера паролей, а именно 1Password , который недавно одобрил Трой Хант. [7] Онлайн-объяснение на его веб-сайте [8] объясняет его мотивы и утверждает, что денежная выгода не является целью этого партнерства.
Взятые пароли
В августе 2017 года Хант опубликовал 306 миллионов паролей, к которым можно было получить доступ через веб-поиск или загрузить их массово. [9]
В феврале 2018 года британский ученый-компьютерщик Джунад Али создал протокол связи (с использованием k- анонимности и криптографического хеширования ) для анонимной проверки утечки пароля без полного раскрытия искомого пароля. [10] [11] Этот протокол был реализован как общедоступный API в сервисе Hunt и теперь используется множеством веб-сайтов и сервисов, включая менеджеры паролей [12] [13] и расширения браузера . [14] [15] Этот подход был позже повторен Google пароля функции Ревизионной «s. [16] [17] [18] Али работал с учеными из Корнельского университета над формальным анализом протокола для выявления ограничений и разработки двух новых версий этого протокола, известных как Бакетизация по размеру частоты и Бакетизация на основе идентификаторов . [19] В марте 2020 года к этому протоколу было добавлено криптографическое заполнение . [20]
История
Запуск
В конце 2013 года эксперт по веб-безопасности Трой Хант анализировал утечки данных на предмет тенденций и закономерностей. Он понял, что нарушения могут сильно повлиять на пользователей, которые могут даже не знать, что их данные были скомпрометированы, и в результате начал разработку HIBP. «Вероятно, главным катализатором была Adobe», - сказал Хант о своей мотивации к запуску сайта, имея в виду нарушение безопасности Adobe Systems, которое затронуло 153 миллиона учетных записей в октябре 2013 года [21].
Началась охота. Меня поймали? 4 декабря 2013 г. с объявлением в своем блоге. В то время на сайте было проиндексировано всего пять утечек данных: Adobe Systems, Stratfor , Gawker , Yahoo! Голоса и Sony Pictures. [22] Однако теперь на сайте появилась возможность легко добавлять будущие нарушения, как только они будут опубликованы. Хант писал:
Теперь, когда у меня есть платформа для создания, я смогу быстро интегрировать будущие нарушения и сделать их доступными для поиска для людей, которые могли быть затронуты. На данный момент это немного нечестная игра - злоумышленники и другие лица, желающие использовать утечки данных в злонамеренных целях, могут очень быстро получить и проанализировать данные, но средний потребитель не имеет возможности извлечь гигабайты заархивированных учетных записей из торрента и выяснить, действительно ли были они скомпрометированы или нет. [22]
Нарушение данных
С момента запуска HIBP основное внимание уделялось тому, чтобы как можно быстрее добавлять новые утечки данных после того, как они станут достоянием общественности.
В июле 2015 года служба онлайн-знакомств Эшли Мэдисон , известная тем, что поощряет пользователей к внебрачным связям , пострадала от утечки данных , и личности более 30 миллионов пользователей службы стали известны общественности. Нарушение данных получило широкое освещение в СМИ, по-видимому, из-за большого количества затронутых пользователей и ощущаемого стыда за роман. По словам Ханта, публичность взлома привела к увеличению трафика HIBP на 57 000%. [23] После этого нарушения Hunt добавил в HIBP функциональные возможности, благодаря которым нарушения, считающиеся «конфиденциальными», не будут доступны для публичного поиска и будут раскрыты только подписчикам системы уведомлений по электронной почте. Эта функция была включена для данных Эшли Мэдисон, а также для данных с других потенциально скандальных сайтов, таких как Adult FriendFinder . [4]
В октябре 2015 года с Хантом связался анонимный источник, который предоставил ему дамп из 13,5 миллионов адресов электронной почты пользователей и паролей в виде открытого текста, утверждая, что они поступили от 000webhost, бесплатного провайдера веб-хостинга . Работая с Томасом Фокс-Брюстером из Forbes , он подтвердил, что дамп, скорее всего, был законным, проверив адреса электронной почты из него и подтвердив конфиденциальную информацию у нескольких клиентов 000webhost. Хант и Фокс-Брюстер много раз пытались связаться с 000webhost, чтобы подтвердить подлинность взлома, но не смогли получить ответ. 29 октября 2015 года, после сброса всех паролей и публикации статьи Fox-Brewster о взломе, 000webhost объявили об утечке данных через свою страницу в Facebook . [24] [25]
В начале ноября 2015 года группа Paysafe , материнская компания обоих провайдеров, подтвердила, что два нарушения прав поставщиков азартных игр Neteller и Skrill являются законными . Данные включали 3,6 миллиона записей из Neteller, полученных в 2009 году с использованием эксплойта в Joomla , и 4,2 миллиона записей из Skrill (тогда известного как Moneybookers), которые просочились в 2010 году после взлома виртуальной частной сети . В базу данных HIBP было добавлено 7,8 миллиона записей. [26]
Позже в том же месяце производитель электронных игрушек VTech был взломан, и анонимный источник в частном порядке предоставил HIBP базу данных, содержащую почти пять миллионов записей родителей. По словам Ханта, на сегодняшний день это четвертое по величине нарушение конфиденциальности потребителей . [27]
В мае 2016 года в короткие сроки была обнаружена беспрецедентная серия очень крупных утечек данных, произошедшая несколько лет назад. Эти взломы включали 360 миллионов аккаунтов Myspace примерно с 2009 года, 164 миллиона аккаунтов LinkedIn с 2012 года, 65 миллионов аккаунтов Tumblr с начала 2013 года и 40 миллионов аккаунтов службы знакомств для взрослых Fling.com. Все эти наборы данных были выставлены на продажу анонимным хакером по имени "peace_of_mind" и вскоре после этого были предоставлены Ханту для включения в HIBP. [28] В июне 2016 года в базу данных HIBP была добавлена дополнительная «мега-утечка» 171 миллиона учетных записей из российской социальной сети VK . [29]
В августе 2017 года BBC News писала, что меня обманули? об обнаружении Хантом операции по рассылке спама по списку из 711,5 миллионов адресов электронной почты. [30]
Неудачная попытка продать
В середине июня 2019 года Хант объявил о планах продажи Have I Been Pwned? организации, которую еще предстоит определить. В своем блоге он изложил свои пожелания уменьшить личный стресс и расширить сайт за пределы того, что он смог сделать самостоятельно. [5] На момент публикации сообщения в блоге он работал с KPMG над поиском компаний, которые он считал подходящими и которые были заинтересованы в приобретении. Однако в марте 2020 года он объявил в своем блоге, что меня поймали? останется независимым в обозримом будущем. [31]
Открытый исходный код
7 августа 2020 года Хант объявил в своем блоге о своем намерении открыть исходный код игры Have I Been Pwned? кодовая база. [32] Он начал публиковать код 28 мая 2021 года. [33]
Брендинг
Название "Меня обманули?" на основе сценария деточка жаргон термин « PWN », что означает «компромисс или контроль отбора, в частности , другой компьютер или приложения.»
Логотип HIBP включает текст ';--
, который представляет собой обычную строку атаки с использованием SQL-инъекции . Хакер, пытающийся получить контроль над базой данных веб-сайта, может использовать такую строку атаки, чтобы заставить веб-сайт запустить вредоносный код. Инъекционные атаки являются одним из наиболее распространенных векторов взлома базы данных; они являются самой распространенной уязвимостью веб-приложений №1 в списке 10 лучших веб-приложений OWASP . [34]
Смотрите также
- Монитор Firefox
- Безопасность базы данных
Рекомендации
- ^ «Мы выпекаем, меня встраивали в Firefox и 1Password» . troyhunt.com . 25 июня 2018.
- ↑ Merriam-Webster: Что означает «Pwn»? А как это сказать?
- ^ Зельцер, Ларри (5 декабря 2013 г.). «Как узнать, украли ли ваш пароль» . ZDNet . Проверено 18 марта 2016 .
- ^ а б Прайс, Роб (20 августа 2015). «HaveIBeenPwned.com позволяет узнать, есть ли у вас утечка взлома Эшли Мэдисон» . Business Insider . Проверено 18 марта 2016 .
- ^ а б «Проект Шпицберген: будущее ли меня предали» . Трой Хант . 11 июня 2019 . Проверено 11 июня 2019 .
- ^ О'Нил, Патрик Хауэлл (16 сентября 2014 г.). «Как узнать, что вас взломали менее чем за минуту» . Daily Dot . Проверено 20 мая +2016 .
- ^ «Поиск введенных паролей с помощью 1Password - блог AgileBits» . agilebits.com . 22 февраля 2018.
- ^ «Have I Been Pwned теперь сотрудничает с 1Password» . troyhunt.com . 29 марта 2018.
- ^ «Нужен новый пароль? Не выбирайте один из этих 306 миллионов» . Engadget . Проверено 29 мая 2018 .
- ^ «Узнайте, был ли введен ваш пароль, не отправляя его на сервер» . Ars Technica . Проверено 24 мая 2018 .
- ^ «1Password болтает с проверкой« введенного пароля »- TechCrunch» . techcrunch.com . Проверено 24 мая 2018 .
- ^ «1Password интегрируется с« Pwned Passwords », чтобы проверить, не просочились ли ваши пароли в Интернет» . Проверено 24 мая 2018 .
- ^ Конгер, Кейт. «1Password поможет вам узнать, введен ли ваш пароль» . Gizmodo . Проверено 24 мая 2018 .
- ^ Кондон, Стефани. «Okta предлагает бесплатную многофакторную аутентификацию с новым продуктом One App | ZDNet» . ZDNet . Проверено 24 мая 2018 .
- ^ Корен, Майкл Дж. «Самая большая в мире база данных взломанных паролей теперь является расширением Chrome, которое автоматически проверяет вашу» . Кварц . Проверено 24 мая 2018 .
- ^ Wagenseil I, Пол. «Новое расширение Google Chrome находит ваши взломанные пароли» . www.laptopmag.com .
- ^ «Google запускает расширение для проверки пароля, чтобы предупреждать пользователей о взломе данных» . BleepingComputer .
- ^ Дсуза, Мелиша (6 февраля 2019 г.). «Новое расширение Google Chrome 'Password CheckUp' проверяет, не было ли ваше имя пользователя или пароль взломано третьими лицами» . Packt Hub .
- ^ Ли, Люси; Пал, Биджита; Али, Джунаде; Салливан, Ник; Чаттерджи, Рахул; Ристенпарт, Томас (6 ноября 2019 г.). «Протоколы проверки взломанных учетных данных». Материалы конференции ACM SIGSAC 2019 по компьютерной и коммуникационной безопасности . Нью-Йорк, Нью-Йорк, США: ACM: 1387–1403. arXiv : 1905.13737 . Bibcode : 2019arXiv190513737L . DOI : 10.1145 / 3319535.3354229 . ISBN 978-1-4503-6747-9.
- ^ Али, Джунаде (4 марта 2020 г.). «Заполнение выдаваемых паролей (ft. Lava Lamps and Workers)» . Блог Cloudflare . Проверено 12 мая 2020 .
- ^ Coz, Джозеф (10 марта 2016 г.). "Возникновение" Меня поймали? ", Бесценного ресурса в эпоху хакерства" . Vice . Проверено 18 марта 2016 .
- ^ а б Клули, Грэм (5 декабря 2013 г.). «Проверьте, не стали ли вы жертвой утечки данных, с помощью 'Have I Been Pwned? ' » . grahamcluley.com . Проверено 20 мая +2016 .
- ^ Раш, Уэйн (28 мая 2016 г.). «Как Трой Хант предупреждает веб-пользователей, попавших в ловушку огромных утечек данных» . eWeek . Проверено 15 июня +2016 .
- ^ Фокс-Брюстер, Томас (28 октября 2015 г.). «13 миллионов паролей, по-видимому, просочились с этого бесплатного веб-хостинга - ОБНОВЛЕНО» . Forbes . Проверено 20 мая +2016 .
- ^ 000webhost (29 октября 2015 г.). «Мы стали свидетелями взлома базы данных на нашем основном сервере» . Facebook . Проверено 20 мая +2016 .
- ^ Фокс-Брюстер, Томас (30 ноября 2015 г.). «Gambling Darling Paysafe подтверждает, что 7,8 миллиона клиентов попали в эпические старые хаки» . Forbes . Проверено 20 мая +2016 .
- ^ Франчески-Биккьерай, Лоренцо (27 ноября 2015 г.). «Один из крупнейших хакерских атак, раскрывающий данные о сотнях тысяч детей» . Vice . Проверено 31 марта 2016 года .
- ^ Сторм, Дарлин (30 мая 2016 г.). «Захвачено: 65 миллионов аккаунтов в Tumblr, 40 миллионов из Fling, 360 миллионов из MySpace» . Компьютерный мир . Проверено 15 июня +2016 .
- ^ Уиттакер, Зак (10 июня 2016 г.). Грядут «новые« мега-взломы », поскольку конкурирующие хакеры борются за продажи» . ZDNet . Проверено 15 июня +2016 .
- ^ Келион, Лев (30 августа 2017 г.). «Гигантский спам-бот собрал 711 миллионов адресов электронной почты» . BBC News . Проверено 30 августа 2017 года .
- ^ «Проект Шпицберген: меня обманули и его постоянная независимость» . Трой Хант . 3 марта 2020 . Проверено 30 апреля 2020 .
- ^ Хант, Трой. «Я использую открытый исходный код для базы кода« Был ли я взломан »» . Проверено 8 августа 2020 .
- ^ Хант, Трой. «Pwned Passwords, открытый исходный код в .NET Foundation и работа с ФБР» . Проверено 29 мая 2021 года .
- ^ «ТОП-10 2013-ТОП-10» . OWASP . Проверено 20 мая +2016 .
Внешние ссылки
- Официальный веб-сайт
- Меня поймали? объявление в блоге на troyhunt.com