Можете ли вы поверить, что меня обманули?
Если вы изучали опасность утечки данных, возможно, вы встречали веб-сайт под названием Have I Been Pwned (или HIBP). Предпосылка веб-сайта проста. В обмен на ваш адрес электронной почты, номер телефона, имя пользователя или даже пароль, Have I Been Pwned сообщит вам, были ли какие-либо из них когда-либо опубликованы в Интернете.
Очевидно, что если вы беспокоитесь о том, что люди украдут ваши данные, идея передать эти данные на необычный веб-сайт может показаться не лучшим вариантом.
Так что же такое Have I Been Pwned и, что более важно, можете ли вы ему доверять?
Что меня обманули (HIBP)?
Have I Been Pwned – популярный веб-сайт, у которого по состоянию на 2019 год более 2 миллионов подписчиков.
Разумно опасаться того, кому вы предоставляете свои данные, но этот веб-сайт разработан, чтобы помочь вам избежать проблем, а не вызвать их.
Изначально Have I Been Pwned был создан в 2013 году исследователем безопасности по имени Трой Хант. По словам Ханта, он создал сайт в ответ на утечку данных в Adobe Systems, от которой пострадали 32 миллиона человек.
Он утверждает, что во время атаки хакерам было легко загрузить большие партии украденных данных учетной записи. Но обычному человеку было очень трудно узнать, были ли включены его данные.
Когда веб-сайт был запущен, на нем было зарегистрировано всего пять нарушений безопасности. У Have I Been Pwned теперь есть сотни зарегистрированных нарушений, и средний человек может узнать, были ли они учтены в секундах.
Если вас все еще беспокоят намерения Have I Been Pwned, также стоит отметить, что недавно были объявлены планы сделать всю систему открытым исходным кодом.
Почему это называется "Меня поймали?"
Если имя автоматически не вызывает доверия, это потому, что оно происходит от термина, используемого хакерами.
При взломе термин «pwn» означает компрометацию или получение контроля над другим компьютером или приложением.
Логотип также включает в себя текст '; – и это относится к SQL Injection, который является популярным методом взлома данных.
Где меня поймали получить информацию?
Когда данные учетной записи воруют массово, они часто публикуются в Интернете для загрузки.
Из-за репутации веб-сайта анонимные источники также неоднократно обращались к Hunt с просьбой внести свой вклад.
Таким образом, обновление веб-сайта сводится к добавлению дампов данных по мере их появления.
Пожалуй, самой впечатляющей особенностью веб-сайта является Dump Monitor. Это бот Twitter, который отслеживает пасты Pastebin на предмет потенциальных дампов данных. Когда он его находит, все данные учетной записи добавляются в режиме реального времени.
О большинстве дампов сразу не говорят. Поэтому, если ваши данные когда-либо будут украдены, вполне вероятно, что они будут добавлены в базу данных до того, как вы даже услышите, что они были украдены.
Веб-сайт, вероятно, станет еще быстрее в будущем, поскольку они недавно объявили, что работают с ФБР . В соответствии с предложенным соглашением ожидается, что ФБР будет вводить скомпрометированные пароли непосредственно в базу данных по мере их обнаружения.
Очевидно, что ФБР несет ответственность за расследование всех видов преступников, поэтому они, вероятно, будут иметь доступ к паролям, которого не будет никто другой.
Разве компания не сообщила бы мне, если мои данные были украдены?
Если компания сталкивается с утечкой данных, правильный курс действий – связаться со всеми, кто мог быть затронут. К сожалению, так бывает не всегда.
Иногда связываться со всеми нецелесообразно. Например, люди могут зарегистрироваться в службе, а затем изменить свой адрес электронной почты. В других случаях утечки данных не предаются огласке, потому что они могут ухудшить внешний вид компании.
В 2015 году с Хантом связался анонимный источник, который предоставил ему дамп данных, который, по всей видимости, пришел от хостинговой компании 000WebHost . Хант работал с журналистом Forbes, чтобы проверить данные. После этого они попытались связаться с компанией, но не смогли получить ответа.
000WebHost в конце концов признал нарушение, но это произошло только после того, как журналист Forbes опубликовал статью на эту тему.
Что произойдет, если ваши данные будут задействованы в утечке данных
Если данные вашей учетной записи опубликованы в Интернете, может произойти ряд вещей, но ни одно из них не является хорошим.
Если ваша учетная запись электронной почты взломана , хакеры могут использовать ее для доступа к любой службе, к которой подключена ваша электронная почта. Также они могут связываться с людьми, притворяясь вами. Если какая-либо из ваших учетных записей содержит личную информацию, ее можно продать или использовать для кражи личных данных. Если к вашему счету в онлайн-банке есть доступ, ваши деньги могут быть украдены.
Как использовать Have I Been pwned
Have I Been Pwned очень проста в использовании. Просто введите свои данные, и он сообщит вам, есть ли совпадение. Вот несколько вещей, о которых следует помнить при использовании сервиса.
Если ваши данные не найдены, это не означает автоматически, что они никогда не были украдены. Это просто означает, что Have I Been Pwned никогда с ними не сталкивался.
Have I Been Pwned не возвращает результаты взломов, которые произошли на конфиденциальных веб-сайтах, т.е. Если вы хотите получить доступ ко всей базе данных, вам нужно будет подтвердить свой адрес электронной почты.
Если вы зарегистрируетесь в Have I Been Pwned, вы можете выбрать получение электронного письма, если ваши данные будут опубликованы в будущем. Это очень рекомендуется.
Что делать, если ваша информация просочилась
Если ваши данные найдены, вы должны предпринять ряд шагов.
- Если ваш пароль найден, вам следует посетить любой веб-сайт, который его использует, и немедленно изменить его.
- Если какие-либо из затронутых учетных записей важны для вас, вам следует искать доказательства того, что к ним был осуществлен доступ.
- Если затронут адрес электронной почты, вам также следует изменить пароль любой службы, которая связана с ним.
- Вам следует избегать использования этого пароля в будущем.
Защитите свои учетные записи сегодня
Утечки данных – частое явление и могут произойти на любом веб-сайте, независимо от его размера. Если вы думаете, что могли пострадать, Have I Been Pwned – лучший и, возможно, единственный ресурс для выяснения этого.
Независимо от того, были ли ваши данные уже украдены, предпочтительный способ защиты от утечки данных – никогда не использовать один и тот же пароль для нескольких учетных записей. Таким образом, если ваши данные когда-либо будут украдены, это затронет только одну учетную запись.