adobe.雅虎美国能源部(DOE)纽约时报

这些公司的共同之处在于,它们在2013年都至少遭遇过一次网络入侵。这一年,威胁分子开始针对各行各业的组织,窃取数据以获取利润,或者泄露数据,“给公司上一课,让它们了解网络安全。”

违反的大多数数据都是凭据信息,例如用户名和密码,前者通常是电子邮件地址。一些个人身份信息(PII)其他以组织为中心的敏感数据也被添加到混合中。

随着这一年度的许多违规行为,加上了几年前几年的攻击,可能导致思考:人们如何跟上检查它们是否受这些违规影响的影响?他们偶甚至知道他们被攻破了?

这种数据违规的流行与他的Adobe攻击分析有LED Troy Hunt,澳大利亚网络安全专家,博主和扬声器,创造我被骗了吗?该网站允许互联网用户查看自己的个人数据是否已被泄露,或是否属于公司入侵后大量泄露数据的一部分。

感到安全疲劳?听听Troy Hunt与其他网络安全专家ChloéMessdaghi和Tanya Janca这一锁和代码的一章关于如何击败它。

此视频无法显示,因为您的功能饼干目前已禁用。

请访问我们的隐私政策并搜索cookie部分。选择“点击这里”打开隐私首选项中心并选择“功能性饼干”在菜单。您可以将选项卡切换回“积极的”或通过移动TAB来禁用“不活跃”。点击“保存设置。”

是“我被骗了吗?”“合法的?

是的。

迄今为止,HIBP已经发生了近十年,经历了多年来,它只被证明是日常互联网用户,政府和组织的重要工具。

是的,你读到了这个权利:政府。HIBP一直在协助各国政府,如英国澳大利亚,罗马尼亚(少数),监测政府域名的违规行为。请注意,集中监测由这些政府的网络安全武器完成,例如国家网络安全中心(NCSC)对于英国,澳大利亚网络安全中心(ACSC)澳大利亚,CERT-RO.罗马尼亚。当然,这些组织无法查询政府领域之外的其他网站。

“The only access they have is to domains that their people working in those departments could query anyway via the existing free domain search model, we’re just consolidating it all into a unified service,” Hunt wrote in a 2018 blog post about this matter. If you’re interested in reading more about this, there is in-depth detail这里

HIBP也是由亨特自己一手管理和维护的,而不是一个团队。亨特在网络安全圈里是一个很有名很受信任的名字。最重要的是,他负责这项服务“最大的透明度。”

是“我被骗了吗?”“安全?

如果你是个注重隐私的人绝不只要使用他们的搜索功能,就会在查询时侦听网站,可以担心Hibp是否实际上窥探或更糟糕,记录您所做的每一个查询。

根据HIBP FAQ页:“网站上的任何明确都没有明确记录。任何类型的唯一记录都是通过Google Analytics,应用程序见解性能监控和如果系统中发生异常,则隐式收集的任何诊断数据。“

以下是本页介绍的其他与存储相关问题:

如何存储数据?
破坏的帐户坐在Windows Azure表存储中,该表存储只包含电子邮件地址或用户名,并且它在违约中出现的网站列表。如果您对详细信息感兴趣,则所有这些都已描述在Azure桌上工作的15400万纪录 - 我被占据了

通知服务是否存储电子邮件地址?
是的,必须追踪谁联系他们应该在随后的数据泄露中陷入困境。仅存储电子邮件地址,存储了他们订阅的日期和用于验证的随机令牌。

我怎么知道网站不是收集搜索的电子邮件地址?
你没有,但这不是。该网站只是为了获得与违约所陷入困境的账户相关的风险的免费服务。与任何网站一样,如果您关注的意图或安全性,请不要使用它。

2019年,亨特向读者讲述了斯瓦尔巴特计划(Project Svalbard),他把这个名字与《我被虐了吗》(Have I Been Pwned)的未来联系在一起。简而言之,当亨特意识到自己总有一天会筋疲力尽时,他曾计划将HIBP的管理移交给一个“资源更充足、资金更充足的机构”。这一消息可能会给那些多年来一直信任该网站的人敲响警钟,因为他们总是担心服务货币化或被任何获取HIBP的人滥用数据。

当时,狩猎在项目斯瓦尔巴特的一个漫长而周到的帖子中,包括他能够对未来的7分承诺,你可以在这里阅读.这是tl;dr版本:

  • 免费的消费者搜索应该保持免费。
  • 我(特洛伊·亨特)仍将是HIBP的一部分。
  • 我想要建立更多的能力。
  • 我想达到比目前的更大的受众。
  • 更改消费者行为可以做更多的事情。
  • 组织可以从HIBP获益更多。
  • 应该有更多的信息披露和更多的数据。

但是在2020年3月,有些东西变了。根据最后一分钟,不可预见的发展,Hasibeenpwned的销售已被停止。亨特写道

“我被PWNED不再被卖掉,我将继续独立运作。“

是普及的?这是该做什么

虽然知道你的个人信息或证书是否被泄露很重要,但更重要的是采取行动。知道你的账户被入侵了,你现在做什么?

对于初学者,更改密码。让它更长。它不必是一个复杂的大写和小写字符,符号和数字。长度足够,根据2021个NIST指南.您可以制定自己的长密码,或者您可以争取帮助密码管理器

最后,使用双因素身份验证(2 fa)为您的帐户添加一层保护。我们强烈建议使用一次性密码(OTP)应用程序,或者如果您有物理硬件密钥,例如ayubikey.,那就更好了。请注意一些大牌公司像Facebook这样的已经开始为用户提供使用硬件密钥的选项。因此,如果您想这样做,请检查您的在线服务提供商是否也提供它,并利用它。

保持安全!