Сервисы Татьяна Боброва
3 832

Основатель сервиса для отслеживания утечек паролей Have I Been Pwned объявил о готовности продать проект

Но Трой Хант планирует продолжить заниматься проектом.

В закладки

Основатель сервиса для проверки безопасности данных аккаунта Have I Been Pwned (HIBP) Трой Хант объявил, что ищет покупателя на проект. Он уже консультировался по этому вопросу с представителями аудитора KPMG из отдела слияний и поглощений.

В своём блоге Хант перечислил некоторые условия заключения сделки. В частности, доступ к HIBP должен оставаться свободным, а сам Хант хотел бы продолжить сотрудничать с проектом.

Объясняя причины продажи Хант указывает, что не справляется с возрастающей нагрузкой и хотел бы распределить её. Он не говорит, есть ли у него конкретные предложения о сделке, но отмечает, что уже обсуждал возможность продажи с потенциальными покупателями.

Несколько человек спросили Ханта в комментариях к записи, рассматривает ли он Mozilla в качестве потенциального покупателя, отмечает TechCrunch. Хант ответил, что связывался с этой компанией, но подробности раскрыть отказался. С 2018 года Mozilla использует системы HIBP в своём сервисе Firefox Monitor.

Have I Been Pwned основан в 2013 году. Сервис отслеживает утечки данных аккаунтов и позволяет пользователям проверить, не были ли их личные данные скомпрометированы в результате взлома.

#новость

{ "author_name": "Татьяна Боброва", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 48, "likes": 21, "favorites": 14, "is_advertisement": false, "subsite_label": "services", "id": 71206, "is_wide": false, "is_ugc": false, "date": "Tue, 11 Jun 2019 16:17:11 +0300" }
{ "id": 71206, "author_id": 283507, "diff_limit": 1000, "urls": {"diff":"\/comments\/71206\/get","add":"\/comments\/71206\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/71206"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 200396, "last_count_and_date": null }

48 комментариев 48 комм.

Популярные

По порядку

Написать комментарий...
2

Ох не доверяю я всем этим проверялкам... По-сути сливаешь свое мыло х/з кому - лично у меня нет компетенции отследить, правда ли сайт передает только хеш, и не собирает ли обо мне какие-то данные.
Новость звучит для меня как:
Основатель сервиса для отслеживания утечек паролей Have I Been Pwned объявил о готовности продать накопленную базу e-mail вместе со слитой базой паролей, и отдельно выделенными совпадениями.

Ответить
8

Открой консоль разработчика и увидишь, что твой емейл не покидает пределы браузера.

Ответить
6

Возможно, это один из самых тупых комментариев на этом ресурсе. А как тогда этот сервис, по-твоему, проверяет адреса на предмет нахождения среди утечек? Выгружает всю базу на клиент?

Ответить
–4

Самокритично.

Ответить
4

Вау, Маша, какие панчи! Правда, лучше бы панчила человека, который распространяет дезинформацию. Смотри, как твой имейл "не покидает" пределы бразуера:

Ответить
2

Посыпаю голову пеплом.
Таки да, перепутал с проверкой пароля.

Ответить
0

Значит базу емыла оно собирать гипотетически может. О чем я и писал, что если я не понимаю как эта вещь работает - лучше не пользоваться. А теперь мое "беспалевное" мыло гарантированно у них.

Ответить
0

Лол, оно и без того было у них. Cause you ve been pwned

Ответить
0

Да, тот человек, похоже, перепутал с проверкой пароля на том же ресурсе, там как раз берется часть хэша. Тем не менее, для имэйлов технически можно было сделать точно так же.

Ответить
1

Как так же? Устанавливать соответствие не один к одному, а отвечать "ну походу да, но возможно и нет" в случае если кусок хэша совпал? Такие ответы мало кому интересно получать.

Ответить
1

"ну походу да, но возможно и нет" в случае если кусок хэша совпал

Нет же. Клиенту возвращается один из 2^24 кусков базы и клиент сам проверяет, есть ли в нем полный хэш.

Ответить
0

Не, я туда только пару скриптов умею копипастить, чтобы VPN не включать и некоторые блокировки для РФ обходить.
Опять же, даже если передается не мыло, а хеш - на другой стороне же этот хеш сличается с хешем мыла из слитых баз. То есть даже если база не наполняется новым, то минимум идет проверка актуальности старого (за которое кто-то переживает). А актуальность баз имеет свою ценность.

Ответить
1

Там не полный хэш, а первые 5 (или 6) цифр хэша передаются. Поэтому и положительный ответ проверялки не дает 100%-ю гарантию, что именно твой акк хакнули.
Но тут лучше перебдеть.

Ответить
0

Там не полный хэш, а первые 5 (или 6) цифр хэша передаются.

Поискал скрипт, исчисляющий MD5 для Powershell,
$someString = "Hello World!"

$md5 = new-object -TypeName System.Security.Cryptography.MD5CryptoServiceProvider

$utf8 = new-object -TypeName System.Text.UTF8Encoding

$hash = [System.BitConverter]::ToString($md5.ComputeHash($utf8.GetBytes($someString)))

Powershell ISE выдал мне $hash из 16 цифр в hex.

Либо я что-то делаю не так, либо судить по первым 6 цифрам из 16 это слегка бесполезно.

Ответить
0

судить по первым 6 цифрам из 16 это слегка бесполезно.

Почему?

Ответить
1

Потому что остальные 10 могут быть любыми. С учетом того, что мы имеем дело с 16теричной системой (мне в хеше выдало 16 цифр из двух символов), то от 00 до FF это 256 значений (256=F^2), а среди миллиардов значений могут затесаться сотни хешей совершенно посторонних адресов. (F^20, если точно, ибо 10 пар чисел)

Ответить
0

Ну вот и отлично, вот мы разбили базу на 16 миллионов кусков трехбайтовыми ключами, дальше клиенту возвращается нужный кусок маленького размера, и он сам проверяет, есть ли полный хэш в списке. И?

Ответить
0

Пользователю ничего не делать, у него и базы этой нет.
А вот в этом и вопрос, что автор сего сайта затратил немало ресурсов на вычисления (читал про десятки тысяч долларов на аренду облачных серверов).
И у меня возникает вопрос, а ему зачем?
Я не верю в альтруизм, тот кто не платит за информацию, сам становится товаром.

Ответить
2

Первое предложение вашего комментария не очень понятно, а про веру это к батюшке.

Ответить
0

А, клиент имелся ввиду со стороны браузера?
Я уж подумал, что пользователю))
Лично для меня эта схема без примеров неясна, а разбираться мне честно влом. Я не в ИБ работаю, так, основы 10 лет назад проходил.

А паранойи никогда много не бывает. Не знаешь как работает инструмент - не используй. Лохотронщики тоже много умных слов говорят, стараясь подловить человека на том, что он не может признать что чего-то не знает.

Ответить
0

В том то и суть, что тут пренебрегают точностью поиска в угоду приватности. К тому же пусть тебе лишний раз напишет, мол, сходи смени пароль, нежели твой емейл угонят по пути к сервису проверки или прямо на нем.

Ответить
–1

Можно с тем же успехом выводить рандомно: "Мужик, твой пароль слили. смени-ка ты его."
Вообще чем больше узнаю про эту проверку, тем больше смеюсь над нашими рабочими безопасниками, что на полном серьезе рекомендовали через этот сервис провести проверку...

Ответить
0

Смейся и дальше. Но полмира юзает именно этот способ проверки.
К тому же он работает не только на проверку чего-то конкретного.
Если тебе на мыло прилетело письмо от него, то твой имейл стопроцентово был найден в одной из слитых баз.

Ответить
0

Вот только в этих базах может быть только мыло, без пароля. Или с устаревшим паролем.
Полмира это люди, для которых интернет это фейсбук и котики.

Если тебе на мыло прилетело письмо от него, то твой имейл стопроцентово был найден в одной из слитых баз.

Вот это уже интересно, то есть оно еще и спамит на ящики?

В общем не нужны мне эти левые системы. нормальная парольная политика, никакого левого пиратского софта, менеджеры паролей и двухфакторная авторизация - и пусть все проверяльщики идут лесом.
А домохозяек с контрольным вопросом "девичья фамилия матери" \это все-равно не спасет.

Ответить
0

менеджеры паролей

Большинство из которых периодически делают проверку именно на этом сервисе. Но то такое.
оно еще и спамит на ящики?

Мне за всю жизнь один раз пришло письмо от него. Но, очевидно, это зависит от того на скольких помойках ты зарегистрировался.

Ответить
0

Я никогда не пользуюсь онлайновыми менеджерами, ибо несекьюрно. И ни один здравомыслящий разраб не будет сливать мастер-ключ, расшифровывать пользовательский пароль и проверять его на левых ресурсах - разрабу это зачем???

А мне ни одного. На 4 ящика, одному из которых уже 12 лет и который засветился на разных помойках тех времен.
И в базах сего товарища этого ящика не нашлось, несмотря на то что на него был когда-то завязан ластпасс (во времена когда я еще доверял онлайну, до того как ластпасс слил все базы).

Ответить
0

Еще раз: никто никуда ничего не сливает. Проверка идет, пока база расшифрована. Пароли и емейлы в открытом виде никуда не ходят.
Всё достаточно приватно. Вероятность ложной коллизии ты сам выше сосчитал. Случись такая коллизия — ничего страшного не произойдет.
В общем, непонятно мне, что ты хочешь мне доказать.

в базах сего товарища этого ящика не нашлось

Вот видишь, ты сам подтверждаешь мои слова — за 12 лет среди сотен миллионов слитых емейлов не нашлось такого адреса, первые 5 цифр хэша которого совпали бы с твоими.

Ответить
0

То что моего адреса не нашлось это ложноположительный результат. Ибо там далеко не все базы. Адрес мог быть скомпрометирован в сотнях других баз, которые просто не сливали - я это понимаю, а вот другие проверятся и считают что в безопасности.
Вконтактик так вообще не раз ломали - и я удивлен. что почта там не засветилась, а должна была.

Ответить
0

Раз ты тут решил покомбинаторить, то может посчитаешь, какова вероятность того, что у двух рандомных емейлов совпадут первые 5 цифр хэша?

Ответить
0

F^10=1 099 511 627 776, а вот сколько хешей емыла совпадут это для меня слишком сложный вопрос. но больше одного.

Ответить
0

Отож, вероятность вообще слишком низкая. А емейлы — это мизерное подмножество строк.

Ответить
0

Эх, щас бы бояться e-mail передать в сервис, в котором твоей e-mail уже и так есть среди милларда слитых записей с сотни сервисов. На моё мыло только русских ШЕСТЬ сервисов находит.

Офигенно удобный сервис от проверенного чувака, который один из самых известных спецов по ИБ. Чего там бояться — я хз, обычный поиск по базам.

Ответить
0

Я все уже объяснил. Добрые дела бесплатно не делают. он потратил десятки тысяч баксов на это - а в ответку мог собрать базу мыла лошков, с пометкой "заботятся об ИБ". и продать ее скажем разрабам антивирусов и файрволов, для таргетирвоанной рекламы, да сотня вариантов.

Я прекрасно знаю, что и где засветилось. Я просто не верю в бескорыстность отдельного индивида и не желаю пополнять отдельную спамбазу актуальными адресами.

На моё мыло только русских ШЕСТЬ сервисов находит.

Картинку с двумя пацанчиками прикреплять не буду. Я спалил 2 почты из 4х - ноль результатов. Наверное ты все же казуал и ноль в ИБ, раз у тебя такие результаты.

Ответить
0

Ему это не надо, он на конференциях выступает за 20к баксов. Он сильно укрепил своё имя на этом.

Кому блин сотни миллионов этих эмейлов нужны, которые пользуются сервисом, смежно же, сними шапочку из фольги.

Картинку с двумя пацанчиками прикреплять не буду. Я спалил 2 почты из 4х - ноль результатов. Наверное ты все же казуал и ноль в ИБ, раз у тебя такие результаты.

Ну конечно, если ты иксперт в ИБ, то твои хэши пропадают из базы, лол. У меня пяток почт, три из них на доменах своих с разными мылами для каждого сервиса (catch all).
Мне просто по работе на куче сервисом приходилось регаться, которыми я не пользуюсь никогда. Все сливы там именно с баз сервисов, а не каких-то логов.

Многие помечены как unknown, но я то вижу по префиксам почты с каких они сервисов шли.

Я настолько охуенный казуал, что будучи школьником сам шеллы на php сайты заливал и сливал базы. Аж обидно стало за казуала.

Ответить
0

То-то я статьи читал, что его жена вроде как недовольна была, что деньи на херотень тратит. Полгода назад как.
Копейка рубль бережет а базы стоят денег. Если он такой " на конференциях выступает за 20к баксов", так почему же "Объясняя причины продажи Хант указывает, что не справляется с возрастающей нагрузкой и хотел бы распределить её"?

Базы вконтактика сливались и сливаются регулярно. Но моего мыла там нет. Почему? Значит у Ханта база - говно.

Устал уже объхснять. Хант - одна шестеренка, "якобыгарантзащиты" для домохозяек. В реальности все в разы сложнее.

А сейчас этот клоун продает все базы кому угодно, так что держите ваши жопи

Ответить
0

База вконтакте никогда не сливалась полностью. Сливались огромные дампы логов с фишинговых сайтов и ботнетов. И ещё каки-то сливы были с вк, но не полные.

Сливается регулярно? Лол што

Ответить
0

"Картинку с двумя пацанчиками прикреплять не буду. Я спалил 2 почты из 4х - ноль результатов".

То есть, если сервис просрал почту юзера, то лох юзер, а не сервис? Правильно понимаю?

Ответить
0

Лох юзер, что оставлял почту на левых сервисах. Я вот не засветился, ибо не оставлял свою почту на сервисах типа "горячие киски ру", "геи шалунишки нах" и "я бы и собаку того панин".
Почему-то меня никто не ломанул, несмотря на регистрации на паре дюжин форумов еще в начале 2010х. Так что вопросы не ко мне.

Ответить
0

А когда речь идет о тех же VK, Adobe, FB и т.д.? В этих случаях тоже юзер лох?

Ответить
2

Что там думать? Пусть Ванпассворду продает, у них давно уже крепкая любовь.

Ответить
1

Вот вчера была новость про утечку данных клиентов некоторых банков. Но понять есть ли твои данные в этих базах ты можешь только скачав их. Странно, что нет подобного сервиса... О том, что твои данные есть в свободном доступе ты узнаешь когда уже будет слишком поздно. Вот чем стоило бы заняться Роскомнадзору.

Ответить
0

Я хочу продать вам этот сервис, но вы не должны на нем зарабатывать деньги.
"Л" - логика.

Ответить
0

Можно на нём косвенно зарабатывать деньги - как минимум там будет светиться твой логотип

Ответить
0

Взломы происходят постоянно. У многих есть данные которые не хотелось, чтобы знали другие. Такие как пароли и многое другое. И действительно нужно что бы были такие сервисы. И если не справляются сами и хотят распределить работу. То это нормально, так как растет спрос и нужно развиваться. Я думаю он принял правильное решение.

Ответить
0

Скоро такой сервис станет не нужен... учитывая количество взломов, свой email найдешь в большинстве случаев

Ответить
0

Там вообще-то сервисы перечисляются + тебя оперативно опевещают.

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Приложение-плацебо скачали
больше миллиона раз
Подписаться на push-уведомления
{ "page_type": "default" }