Byl jsem Pwned? - Have I Been Pwned?

„HIBP“ přeadresuje tady. Pro školu v Brooklynu viz Hebrejský institut v Boro Parku.
Byl jsem Pwned?
Apostrof, středník a dvě pomlčky, za nimiž následuje text „byl jsem pwned“ a otazník. Text je černý a je obklopen černým obdélníkovým okrajem se zaoblenými rohy.
Snímek obrazovky
Domovská stránka haveibeenpwned.com. Web obsahuje bílý text na modrém a černém pozadí. Výrazně uprostřed je logo webu v bílé barvě. Pod logem je vyhledávací pole označené „e-mailová adresa nebo uživatelské jméno“ a vedle něj tlačítko „pwned?“. Pod vyhledávacím polem je řada statistik o velikosti databáze webové stránky. Níže je uveden seznam deseti největších porušení.
Typ webu
Internetová bezpečnost
VytvořilTroy Hunt
URLzobrazeny.com
KomerčníAno
RegistraceVolitelný
Uživatelé2 miliony ověřených e-mailových předplatitelů[1]
Spuštěno4. prosince 2013; před 6 lety (2013-12-04)
Aktuální stavOnline

Byl jsem Pwned? (HIBP„s“Pwned "vyslovuje se jako" poned ",[2] a alternativně psáno s velkým písmenem „Už jsem byl pwned?“) je web, který uživatelům internetu umožňuje zkontrolovat, zda jejich osobní údaje nebyly ohroženy narušení dat. Služba shromažďuje a analyzuje stovky skládky databáze a pasty obsahující informace o miliardách uniklých účtů a umožňuje uživatelům vyhledávat jejich vlastní informace zadáním jejich uživatelského jména nebo e-mailové adresy. Uživatelé se také mohou přihlásit k odběru, pokud se jejich e-mailová adresa objeví na budoucích skládkách. Tato stránka byla široce nabízena jako cenný zdroj pro uživatele internetu, kteří chtějí chránit své vlastní zabezpečení a soukromí.[3][4] Byl jsem Pwned? vytvořil bezpečnostní expert Troy Hunt dne 4. prosince 2013.

Od června 2019 jsem dostal Pwned? v průměru kolem sto šedesát tisíc návštěvníků denně, web má téměř tři miliony aktivních e-mailových předplatitelů a obsahuje záznamy o téměř osmi miliardách účtů.[5]

Funkce

Primární funkce Už jsem byl Pwned? od doby, kdy byla spuštěna, je poskytnout široké veřejnosti prostředky ke kontrole, zda došlo k úniku nebo kompromisu jejich soukromých informací. Návštěvníci webu mohou zadat e-mailovou adresu a zobrazit seznam všech známých narušení dat se záznamy spojenými s touto e-mailovou adresou. Webové stránky také poskytují podrobnosti o každém porušení zabezpečení údajů, například jeho pozadí a jaké konkrétní typy údajů byly do něj zahrnuty.

Byl jsem Pwned? také nabízí službu „Upozornit mě“, která návštěvníkům umožňuje přihlásit se k odběru oznámení o budoucích porušeních. Jakmile se někdo zaregistruje pomocí této e-mailové služby s upozorněním, obdrží e-mailovou zprávu pokaždé, když se jeho osobní údaje vyskytnou při novém porušení ochrany údajů.

V září 2014 společnost Hunt přidala funkce, které umožňovaly automatické přidávání nových narušení dat do databáze HIBP. Nová funkce používá Dump Monitor, a Cvrlikání robot, který detekuje a vysílá pravděpodobné výpisy hesel nalezené na pastebin pasty, aby v reálném čase automaticky přidávala nová potenciální porušení. Porušení údajů se často projevuje na pastebins před tím, než jsou široce hlášeny; Monitorování tohoto zdroje tedy umožňuje, aby byli spotřebitelé upozorněni dříve, pokud byli prolomeni.[6]

Spolu s podrobným popisem, jakým událostem narušení dat byl e-mailový účet ovlivněn, web také upozorňuje ty, kteří se objeví při vyhledávání v databázi, aby si nainstalovali správce hesel, jmenovitě 1 Heslo, kterou Troy Hunt nedávno schválil.[7] Online vysvětlení na jeho webových stránkách [8] vysvětluje své motivy a tvrdí, že peněžní zisk není cílem tohoto partnerství.

Nastavená hesla

V srpnu 2017 společnost Hunt zveřejnila 306 milionů hesel, ke kterým bylo možné přistupovat pomocí webového vyhledávání nebo je lze hromadně stáhnout.[9]

V únoru 2018 britský počítačový vědec Junade Ali vytvořil komunikační protokol (pomocí k-anonymita a kryptografický hash ) anonymně ověřit, zda došlo k úniku hesla, aniž by plně prohledal hledané heslo.[10][11] Tento protokol byl implementován jako veřejné API ve službě Hunt a nyní je spotřebováván několika webovými stránkami a službami včetně správci hesel[12][13] a rozšíření prohlížeče.[14][15] Tento přístup byl později replikován Google Funkce kontroly hesla.[16][17][18] Ali pracoval s akademiky v Cornell University formálně analyzovat protokol za účelem identifikace omezení a vyvinout dvě nové verze tohoto protokolu známé jako Bucketizace velikosti frekvence a Bucketizace založená na identifikátorech.[19] V březnu 2020 kryptografické polstrování byl přidán do tohoto protokolu.[20]

Dějiny

Zahájení

Portrétní fotografie hlavy a ramen Troye Hunta. Hunt má světlou pokožku a hnědé vlasy, které jsou krátké a hladké. Dívá se přímo na diváka a usmívá se, jak ukazuje horní řada zubů. Má na sobě tmavě modrou košili a je na tmavě zeleném a černém pozadí.
Troy Hunt, tvůrce filmu Už jsem byl Pwned?

Koncem roku 2013 analyzoval expert na webovou bezpečnost Troy Hunt narušení dat z hlediska trendů a vzorů. Uvědomil si, že narušení mohou mít velký dopad na uživatele, kteří si možná ani neuvědomují, že jejich data byla ohrožena, a ve výsledku začal vyvíjet HIBP. „Pravděpodobně hlavním katalyzátorem byl Adobe,“ uvedl Hunt o své motivaci pro spuštění webu s odkazem na Narušení zabezpečení společností Adobe Systems která v říjnu 2013 ovlivnila 153 milionů účtů.[21]

Spustil Hunt Byl jsem Pwned? dne 4. prosince 2013 s oznámením na svém blogu. V tuto chvíli měl web indexováno pouze pět porušení zabezpečení údajů: Adobe Systems, Stratfor, Gawker, Yahoo! Hlasy a Sony Pictures.[22] Web však nyní měl funkci, která umožňuje snadné přidání budoucích porušení, jakmile budou zveřejněna. Hunt napsal:

Teď, když mám platformu, na které budu stavět, budu schopen rychle integrovat budoucí narušení a umožnit jim rychlé vyhledávání u lidí, kterých se to mohlo dotknout. V tuto chvíli je to trochu neférová hra - útočníci a další, kteří chtějí využít narušení dat pro škodlivé účely, mohou data velmi rychle získat a analyzovat, ale váš průměrný spotřebitel nemá žádný proveditelný způsob, jak získat gigabajty gzipovaný účty od torrent a zjistit, zda byly kompromitovány nebo ne.[22]

Porušení údajů

Od svého uvedení na trh se hlavním vývojovým cílem HIBP bylo přidávat nová narušení dat co nejrychleji po jejich úniku na veřejnost.

V červenci 2015 online seznamovací služba Ashley Madison, známý tím, že podporuje uživatele v mimomanželských vztazích záležitosti trpěl narušení dat a na veřejnost došlo k úniku identit více než 30 milionů uživatelů služby. Porušení údajů získalo široké mediální pokrytí, pravděpodobně kvůli velkému počtu dotčených uživatelů a vnímané hanbě mít poměr. Podle Hunta měla publicita porušení za následek 57 000% nárůst provozu na HIBP.[23] Po tomto porušení přidala společnost Hunt funkci HIBP, podle níž by porušení považovaná za „citlivá“ nebyla veřejně prohledatelná a byla by odhalena pouze předplatitelům e-mailového oznamovacího systému. Tato funkce byla povolena pro data Ashley Madison, stejně jako pro data z jiných potenciálně skandálních webů, jako je Dospělý FriendFinder.[4]

V říjnu 2015 byl Hunt kontaktován anonymním zdrojem, který mu poskytl výpis 13,5 milionu e-mailových adres uživatelů a hesla v holém textu, přičemž tvrdil, že pochází od bezplatného 000webhost web hosting poskytovatel. Práce s Thomasem Fox-Brewsterem z Forbes, ověřil, že výpis byl s největší pravděpodobností legitimní, testováním e-mailových adres z něj a potvrzením citlivých informací u několika 000 zákazníků webhostingu. Hunt a Fox-Brewster se mnohokrát pokusili kontaktovat web 000webhost, aby dále potvrdili pravost porušení, ale nedokázali získat odpověď. Dne 29. října 2015, po resetování všech hesel a zveřejnění článku Fox-Brewster o porušení, 000webhost oznámil porušení údajů prostřednictvím jejich Facebook strana.[24][25]

Začátkem listopadu 2015 byla potvrzena jako legitimní dvě porušení poskytovatelů plateb za hazardní hry, společností Neteller a Skrill Skupina Paysafe, mateřská společnost obou poskytovatelů. Data zahrnovala 3,6 milionu záznamů od společnosti Neteller získaných v roce 2009 pomocí exploitace v Joomla a 4,2 milionu záznamů od Skrill (tehdy známého jako Moneybookers), které unikly v roce 2010 po a soukromá virtuální síť byl ohrožen. Celkem 7,8 milionu záznamů bylo přidáno do databáze HIBP.[26]

Později téhož měsíce, výrobce elektronických hraček VTech byl hacknut a anonymní zdroj poskytl soukromě databázi HIBP obsahující téměř pět milionů záznamů rodičů. Podle Hunta to byl čtvrtý největší soukromí spotřebitelů porušení k dnešnímu dni.[27]

V květnu 2016 byla v krátkém časovém horizontu vydána bezprecedentní řada velmi velkých narušení dat, která se datovala několik let. Tato porušení zahrnovala 360 milionů Moje místo účty od cca 2009, 164 milionů LinkedIn účty z roku 2012, 65 milionů Tumblr účty od začátku roku 2013 a 40 milionů účtů ze seznamovací služby pro dospělé Fling.com. Všechny tyto datové sady byly uvedeny do prodeje anonymním hackerem jménem „peace_of_mind“ a krátce nato byly poskytnuty Huntovi, aby byly zahrnuty do HIBP.[28] V červnu 2016 došlo k dalšímu „mega porušení“ 171 milionů účtů z ruské sociální sítě VK byl přidán do databáze HIBP.[29]

V srpnu 2017 BBC novinky Nejlepší Byl jsem Pwned? o Huntově objevu spamové operace, která čerpá ze seznamu 711,5 milionů e-mailových adres.[30]

Neúspěšná snaha o prodej

V polovině června 2019 oznámila společnost Hunt plány na prodej Have I were Pwned? do dosud neurčené organizace. Ve svém blogu nastínil svá přání snížit osobní stres a rozšířit web nad rámec toho, co dokázal sám.[5] Od vydání blogového příspěvku pracoval ve spolupráci s KPMG na nalezení společností, které považoval za vhodné a které se o akvizici zajímaly. V březnu 2020 však na svém blogu oznámil, že jsem Pwned? zůstanou v dohledné budoucnosti nezávislé.[31]

Otevřené zdroje

Dne 7. srpna 2020 oznámil Hunt na svém blogu svůj záměr otevřít zdrojový soubor Have I were Pwned? kódová základna. [32]

Branding

Jméno „Byl jsem Pwned?“ je založen na skript děťátko žargonový výraz "pwn „, což znamená„ kompromitovat nebo převzít kontrolu konkrétně nad jiným počítačem nebo aplikací. “

Text HIBP zahrnuje text ';--, což je běžné Vložení SQL útočný řetězec. Hacker, který se pokouší převzít kontrolu nad databází webu, může takový útočný řetězec použít k manipulaci webu s spuštěním škodlivého kódu. Injekční útoky jsou jedním z nejběžnějších vektorů, kterými může dojít k narušení databáze; jsou nejčastější chybou zabezpečení webových aplikací na internetu OWASP Seznam 10 nejlepších.[33]

Viz také

Reference

  1. ^ „Pečeme, byl jsem přidělen do Firefoxu a 1Password“. troyhunt.com. 25. června 2018.
  2. ^ Merriam-Webster: Co znamená „Pwn“? A jak to říkáš?
  3. ^ Seltzer, Larry (5. prosince 2013). „Jak zjistit, zda bylo vaše heslo odcizeno“. ZDNet. Citováno 18. března 2016.
  4. ^ A b Cena, Rob (20. srpna 2015). „HaveIBeenPwned.com vám umožní zjistit, zda jste v úniku hackerů Ashley Madison“. Business Insider. Citováno 18. března 2016.
  5. ^ A b „Project Svalbard: The Future of Have I Have Pwned“. Troy Hunt. 11. června 2019. Citováno 11. června 2019.
  6. ^ O'Neill, Patrick Howell (16. září 2014). „Jak zjistit, zda jste byli hacknuti za minutu?“. Denní tečka. Citováno 20. května 2016.
  7. ^ „Nalezení hesel pomocí 1Password - blog AgileBits“. agilebits.com. 22. února 2018.
  8. ^ „Have I were Pwned is now partnering with 1Password“. troyhunt.com. 29. března 2018.
  9. ^ „Potřebujete nové heslo? Nevyberte si jedno z těchto 306 milionů“. Engadget. Citováno 29. května 2018.
  10. ^ „Zjistěte, zda bylo vaše heslo zadáno - bez jeho odeslání na server.“. Ars Technica. Citováno 24. května 2018.
  11. ^ „1Password bolts on a 'pwned password' check - TechCrunch". techcrunch.com. Citováno 24. května 2018.
  12. ^ „1Password se integruje s„ Pwned Passwords “, aby se zkontrolovalo, zda vaše hesla nebyla prosakována online.“. Citováno 24. května 2018.
  13. ^ Conger, Kate. „1Password vám pomůže zjistit, zda je zadáno vaše heslo“. Gizmodo. Citováno 24. května 2018.
  14. ^ Condon, Stephanie. „Okta nabízí bezplatné vícefaktorové ověřování s novým produktem, One App | ZDNet“. ZDNet. Citováno 24. května 2018.
  15. ^ Coren, Michael J. „Největší světová databáze napadených hesel je nyní rozšíření Chrome, které automaticky kontroluje vaše“. Křemen. Citováno 24. května 2018.
  16. ^ Wagenseil I., Paul. „Nové rozšíření pro Chrome od Googlu najde vaše napadená hesla“. www.laptopmag.com.
  17. ^ „Google spouští rozšíření kontroly hesla, aby upozornilo uživatele na porušení údajů“. BleepingComputer.
  18. ^ Dsouza, Melisha (6. února 2019). „Nové rozšíření Google pro Chrome„ Kontrola hesla “kontroluje, zda vaše uživatelské jméno nebo heslo nebylo vystaveno porušení třetí strany.“. Packt Hub.
  19. ^ Li, Lucy; Pal, Bijeeta; Ali, Junade; Sullivan, Nick; Chatterjee, Rahul; Ristenpart, Thomas (6. listopadu 2019). "Protokoly pro kontrolu napadených údajů". Sborník konference ACM SIGSAC z roku 2019 o počítačové a komunikační bezpečnosti. New York, NY, USA: ACM: 1387–1403. arXiv:1905.13737. Bibcode:2019arXiv190513737L. doi:10.1145/3319535.3354229. ISBN  978-1-4503-6747-9.
  20. ^ Ali, Junade (4. března 2020). „Pwned Passwords Padding (ft. Lava Lamps and Workers)“. Blog Cloudflare. Citováno 12. května 2020.
  21. ^ Coz, Joseph (10. března 2016). „The Rise of 'Have I Have Pwned?', Invaluable Resource in the Hacking Age". Svěrák. Citováno 18. března 2016.
  22. ^ A b Cluley, Graham (5. prosince 2013). „Zkontrolujte, zda jste se nestali obětí porušení ochrany údajů, a to pomocí„ Už jsem byl Pwned?'". grahamcluley.com. Citováno 20. května 2016.
  23. ^ Vyrážka, Wayne (28. května 2016). „Jak Troy Hunt upozorňuje uživatele webu, kteří jsou zapojeni do obrovských porušení dat“. eTýden. Citováno 15. června 2016.
  24. ^ Fox-Brewster, Thomas (28. října 2015). „Zdá se, že z tohoto bezplatného webhostingu uniklo 13 milionů hesel - AKTUALIZOVÁNO“. Forbes. Citováno 20. května 2016.
  25. ^ 000webhost (29. října 2015). „Na našem hlavním serveru jsme byli svědky narušení databáze.“. Facebook. Citováno 20. května 2016.
  26. ^ Fox-Brewster, Thomas (30. listopadu 2015). „Hazardní hry Darling Paysafe potvrzují, že 7,8 milionu zákazníků zasáhlo epické staré hackery“. Forbes. Citováno 20. května 2016.
  27. ^ Franceschi-Bicchierai, Lorenzo (27. listopadu 2015). „Jeden z největších hackerů dosud odhaluje údaje o stovkách tisíc dětí“. Svěrák. Citováno 31. března 2016.
  28. ^ Storm, Darlene (30. května 2016). „Pwned: 65 milionů účtů Tumblr, 40 milionů od Flinga, 360 milionů od MySpace“. Computerworld. Citováno 15. června 2016.
  29. ^ Whittaker, Zack (10. června 2016). „Další„ mega porušení “přijdou, protože soupeřící hackeři bojují o prodej“. ZDNet. Citováno 15. června 2016.
  30. ^ Kelion, Leo (30. srpna 2017). „Obří spambot získal 711 milionů e-mailových adres“. BBC novinky. Citováno 30. srpna 2017.
  31. ^ „Project Svalbard, Have I Have Pwned and its Probleming Independence“. Troy Hunt. 3. března 2020. Citováno 30. dubna 2020.
  32. ^ Lov, Troy. „Jsem otevřený a získávám kódovou základnu, jestli jsem dostal Pwned“. Citováno 8. srpna 2020.
  33. ^ „Top 10 2013 - Top 10“. OWASP. Citováno 20. května 2016.

externí odkazy