Har jag blivit pwned?

"HIBP" omdirigerar hit. För skolan i Brooklyn, se Hebrew Institute of Boro Park .
Har jag blivit pwned?
An apostrophe, a semicolon, and two hyphens, followed by the text "have i been pwned" and a question mark. The text is in black, and is surrounded by a black rectangular border with rounded corners.
Skärmdump
The homepage of haveibeenpwned.com. The website features white text on blue and black backgrounds. Prominently centered is the site's logo in white. Below the logo is a search box labeled "email address or username" with a button beside it labeled "pwned?". Below the search box is a series of statistics about the size of the website's database. Below that is a list of the top ten largest breaches.
Typ av webbplats
 Internet säkerhet
Skapad av Troy Hunt
URL haveibeenpwned .com
Kommersiell Ja
Registrering Frivillig
Användare 2 miljoner verifierade e-postprenumeranter
Lanserades 4 december 2013 ; 9 år sedan ( 2013-12-04 )
Nuvarande status Uppkopplad

Har jag blivit pwned? (HIBP; med " Pwned " uttalas som "poned", och stiliserad med gemener som " ';--har jag blivit pwned? " på webbplatsen) är en webbplats som låter Internetanvändare kontrollera om deras personliga data har äventyrats genom dataintrång . Tjänsten samlar in och analyserar hundratals databasdumpar och -pastor som innehåller information om miljarder läckta konton, och låter användare söka efter sin egen information genom att ange sitt användarnamn eller e-postadress. Användare kan också registrera sig för att bli meddelade om deras e-postadress visas i framtida dumpar. Webbplatsen har hyllats allmänt som en värdefull resurs för internetanvändare som vill skydda sin egen säkerhet och integritet. Har jag blivit pwned? skapades av säkerhetsexperten Troy Hunt den 4 december 2013.

Från och med juni 2019, har jag blivit dömd? har i genomsnitt cirka hundra sextio tusen dagliga besökare, sajten har nästan tre miljoner aktiva e-postprenumeranter och innehåller register över nästan åtta miljarder konton.

Funktioner

Den primära funktionen av Have I Been Pwned? sedan det lanserades är att ge allmänheten ett sätt att kontrollera om deras privata information har läckt ut eller äventyrats. Besökare på webbplatsen kan ange en e-postadress och se en lista över alla kända dataintrång med uppgifter kopplade till den e-postadressen. Webbplatsen ger också information om varje dataintrång, såsom bakgrunden till intrånget och vilka specifika typer av data som ingick i den.

Har jag blivit pwned? erbjuder även en "Meddela mig"-tjänst som låter besökare prenumerera på aviseringar om framtida intrång. När någon registrerar sig för den här meddelandetjänsten kommer de att få ett e-postmeddelande varje gång deras personliga information hittas i ett nytt dataintrång.

I september 2014 lade Hunt till funktionalitet som gjorde att nya dataintrång automatiskt kunde läggas till HIBP:s databas. Den nya funktionen använde Dump Monitor, en Twitter- bot som upptäcker och sänder troliga lösenordsdumpar som finns på pastebin- pastor, för att automatiskt lägga till nya potentiella intrång i realtid. Dataintrång dyker ofta upp på pastebins innan de rapporteras allmänt om; Genom att övervaka denna källa kan konsumenter därför meddelas tidigare om de har blivit utsatta för intrång.

Tillsammans med att detaljera vilka dataintrångshändelser e-postkontot har påverkats av, pekar webbplatsen också de som dyker upp i sin databassökning att installera en lösenordshanterare, nämligen 1Password, som Troy Hunt nyligen har godkänt. En onlineförklaring på hans hemsida förklarar hans motiv och hävdar att ekonomisk vinst inte är målet för detta partnerskap.

Pwned lösenord

I augusti 2017 offentliggjorde Hunt 306 miljoner lösenord som kunde nås via en webbsökning eller laddas ner i bulk.

I februari 2018 skapade den brittiska datavetaren Junade Ali ett kommunikationsprotokoll (med k -anonymitet och kryptografisk hashing ) för att anonymt verifiera om ett lösenord läckt utan att helt avslöja det sökta lösenordet. Detta protokoll implementerades som ett offentligt API i Hunts tjänst och konsumeras nu av flera webbplatser och tjänster inklusive lösenordshanterare och webbläsartillägg . Detta tillvägagångssätt replikerades senare av Googles funktion för lösenordskontroll. Ali arbetade med akademiker vid Cornell University för att formellt analysera protokollet för att identifiera begränsningar och utveckla två nya versioner av detta protokoll som kallas Frequency Size Bucketization och Identifier Based Bucketization . I mars 2020 lades kryptografisk utfyllnad till detta protokoll.

Historia

Lansera

A portrait photograph of Troy Hunt's head and shoulders. Hunt has light skin and brown hair, which is short and slicked back. He is looking directly at the viewer and smiling with his top row of teeth showing. He is wearing a dark blue shirt, and is against a dark green and black background.
Troy Hunt, skaparen av Have I Been Pwned?

I slutet av 2013 analyserade webbsäkerhetsexperten Troy Hunt dataintrång för trender och mönster. Han insåg att intrång i hög grad kunde påverka användare som kanske inte ens var medvetna om att deras data äventyrades, och som ett resultat började han utveckla HIBP. "Förmodligen var den främsta katalysatorn Adobe," sa Hunt om sin motivation för att starta sajten, med hänvisning till säkerhetsintrånget i Adobe Systems som påverkade 153 miljoner konton i oktober 2013.

Jakten lanserad Har jag blivit pwned? den 4 december 2013 med ett tillkännagivande på sin blogg. Vid den tiden hade webbplatsen bara fem dataintrång indexerade: Adobe Systems, Stratfor , Gawker , Yahoo! Voices och Sony Pictures. Men sajten hade nu funktionaliteten att enkelt lägga till framtida intrång så fort de offentliggjordes. Hunt skrev:

Nu när jag har en plattform att bygga på kommer jag att snabbt kunna integrera framtida intrång och göra dem snabbt sökbara av personer som kan ha påverkats. Det är lite av ett orättvist spel för tillfället – angripare och andra som vill använda dataintrång i skadliga syften kan mycket snabbt erhålla och analysera data men din genomsnittliga konsument har inget genomförbart sätt att dra gigabyte av gzippade konton från en torrent och upptäcka om de har äventyrats eller inte.

Dataintrång

Sedan lanseringen har HIBPs primära utvecklingsfokus varit att lägga till nya dataintrång så snabbt som möjligt efter att de har läckt ut till allmänheten.

I juli 2015 drabbades nätdejtingtjänsten Ashley Madison , känd för att uppmuntra användare att ha utomäktenskapliga affärer , av ett dataintrång , och identiteterna för mer än 30 miljoner användare av tjänsten läckte ut till allmänheten. Dataintrånget fick bred mediebevakning, förmodligen på grund av det stora antalet drabbade användare och den upplevda skammen över att ha en affär. Enligt Hunt resulterade överträdelsens publicitet i en 57 000 % ökning av trafiken till HIBP. Efter detta intrång lade Hunt till funktionalitet till HIBP genom att överträdelser som anses "känsliga" inte skulle vara offentligt sökbara och endast skulle avslöjas för prenumeranter av e-postmeddelandesystemet. Denna funktion aktiverades för Ashley Madisons data, såväl som för data från andra potentiellt skandalösa webbplatser, som Adult FriendFinder .

I oktober 2015 kontaktades Hunt av en anonym källa som försåg honom med en dump av 13,5 miljoner användares e-postadresser och klartextlösenord, och hävdade att det kom från 000webhost, ett gratis webbhotell . I samarbete med Thomas Fox-Brewster från Forbes verifierade han att dumpningen med största sannolikhet var äkta genom att testa e-postadresser från den och genom att bekräfta känslig information med flera 000webhost-kunder. Hunt och Fox-Brewster försökte många gånger kontakta 000webhost för att ytterligare bekräfta äktheten av intrånget, men kunde inte få något svar. Den 29 oktober 2015, efter en återställning av alla lösenord och publiceringen av Fox-Brewsters artikel om intrånget, meddelade 000webhost dataintrånget via sin Facebook- sida.

I början av november 2015 bekräftades två överträdelser av spelbetalningsleverantörerna Neteller och Skrill vara äkta av Paysafe Group , båda leverantörernas moderbolag. Uppgifterna inkluderade 3,6 miljoner poster från Neteller som erhölls 2009 med en exploatering i Joomla och 4,2 miljoner poster från Skrill (då känd som Moneybookers) som läckte ut 2010 efter att ett virtuellt privat nätverk äventyrats. De sammanlagda 7,8 miljoner posterna lades till HIBP:s databas.

hackades elektroniska leksakstillverkaren VTech , och en anonym källa lämnade privat en databas med nästan fem miljoner föräldrars uppgifter till HIBP. Enligt Hunt var detta det fjärde största konsumentintegritetsintrånget hittills.

I maj 2016 släpptes en oöverträffad serie mycket stora dataintrång som sträckte sig flera år tillbaka i tiden, alla på kort tid. Dessa intrång inkluderade 360 ​​miljoner Myspace -konton från cirka 2009, 164 miljoner LinkedIn -konton från 2012, 65 miljoner Tumblr- konton från början av 2013 och 40 miljoner konton från vuxen datingtjänsten Fling.com. Dessa datauppsättningar lades alla ut till försäljning av en anonym hacker vid namn "peace_of_mind", och lämnades kort därefter till Hunt för att inkluderas i HIBP. I juni 2016 lades ytterligare en "mega intrång" på 171 miljoner konton från det ryska sociala nätverket VK till HIBP:s databas.

I augusti 2017 presenterade BBC News Have I Been Pwned? på Hunts upptäckt av en skräppostoperation som har ritat på en lista med 711,5 miljoner e-postadresser.

Misslyckat försök att sälja

Halvvägs till juni 2019 tillkännagav Hunt planer på att sälja Have I Been Pwned? till en ännu ej fastställd organisation. I sin blogg beskrev han sina önskemål om att minska personlig stress och utöka webbplatsen utöver vad han själv kunde åstadkomma. När blogginlägget släpptes arbetade han med KPMG för att hitta företag som han ansåg lämpliga och som var intresserade av förvärvet. Men i mars 2020 meddelade han på sin blogg att Have I Been Pwned? skulle förbli oberoende under överskådlig framtid.

Open-sourcing

Den 7 augusti 2020 tillkännagav Hunt på sin blogg sin avsikt att öppna källkodsprogrammet Have I Been Pwned? kodbas. Han började publicera en del kod den 28 maj 2021.

Branding

Namnet "Har I Been Pwned?" är baserad på manuset kiddie jargong term " pwn ", som betyder "att kompromissa eller ta kontroll, specifikt över en annan dator eller applikation."

HIBP:s logotyp innehåller texten ';-- , som är en vanlig SQL-injektionsattacksträng . En hackare som försöker ta kontroll över en webbplatss databas kan använda en sådan attacksträng för att manipulera en webbplats till att köra skadlig kod. Injektionsattacker är en av de vanligaste vektorerna för databasintrång. de är den #1 vanligaste sårbarheten för webbapplikationer på OWASPs topp 10-lista.

Se även

externa länkar

Hämtad från " https://en.wikipedia.org/w/index.php?title=Have_I_Been_Pwned%3F&oldid=1107020980 "