10 anos de história do "Have I Been Pwned"

 (troyhunt.com)
1 pontos por GN⁺ 2023-12-05 | 1 comentários | Compartilhar no WhatsApp

A Decade of Have I Been Pwned

  • Have I Been Pwned é um serviço que permite verificar se o e-mail de um usuário foi incluído em um incidente de vazamento de dados.
  • Ao longo de 10 anos, esse serviço forneceu informações sobre vazamentos de dados aos usuários e contribuiu para a segurança na internet.
  • Os usuários podem inserir seu endereço de e-mail para verificar se houve algum incidente em que suas informações pessoais tenham sido expostas.

Opinião do GN⁺

  • O serviço Have I Been Pwned desempenha um papel importante na proteção da privacidade e na segurança cibernética.
  • O serviço ajuda os usuários a identificar facilmente se seus dados foram expostos a riscos, contribuindo para aumentar a conscientização sobre segurança.
  • É especialmente interessante que o serviço tenha sido oferecido de forma consistente ao longo de 10 anos, o que reflete o esforço contínuo e a evolução na área de segurança cibernética.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-12-05
Comentários no Hacker News

  • Troy Hunt é um grande trunfo para desenvolvedores de aplicações web. Medidas de proteção contra credential stuffing são essenciais e, embora a autenticação de dois fatores seja a melhor defesa, verificar o banco de dados de senhas com hash do Hunt também é muito eficaz sem exigir trabalho extra dos usuários.

  • Supõe-se que a maioria das invasões de contas venha de credential stuffing ou reutilização de senha. É surpreendente que grandes empresas não façam essas verificações. A configuração é simples e um dia é suficiente.

  • Se você é um engenheiro em estágio inicial ou CTO desenvolvendo uma aplicação web, talvez ainda não tenha enfrentado um ataque de credential stuffing, mas em algum momento inevitavelmente vai passar por isso. Quando o ataque acontece, surgem dificuldades como responder durante a noite e enviar notificações de vazamento de dados.

  • Usar o banco de dados gratuito do Troy Hunt pode evitar esses problemas. É recomendado usá-lo.

  • Pergunta-se se Troy Hunt já comentou especificamente sobre o divórcio, presumindo que o processo tenha sido longo e caro por causa da divisão de bens e da definição de propriedade.

  • O site antes oferecia uma experiência excelente, mas agora parece ter se transformado em uma forma de ganhar dinheiro, como pagar US$ 169,50 por ano para verificar 100 contas comprometidas.

  • Usa-se um endereço de e-mail único para cada site (para detectar vazamentos de dados), mas ao tentar pesquisar resultados de domínio aparece um erro dizendo que é necessário assinar.

  • Critica-se Troy Hunt por incluir compilações públicas de dados como “violação”, inflando artificialmente o número de contas comprometidas. Considera-se que algo em torno de US$ 5-12 por ano seria razoável.

  • Avalia-se que o surgimento de vários nomes de domínio semelhantes a haveibeenpwned.com é um efeito colateral curioso da fama na mídia.

  • Considera-se que os textos de Troy Hunt são muito informativos. Compartilha-se a experiência de ter lido sobre como verificar arquivos pwned usando k-anonimato sem transmitir a senha, pesquisado isso e aplicado em projetos profissionais.

  • Hackers estão usando o banco de dados de senhas pwned para criar e-mails de phishing convincentes. Há curiosidade sobre se as pessoas realmente caem nesses golpes. A maioria acaba barrada por filtros de spam, mas às vezes alguns passam. Expressa-se agradecimento pelo serviço HIBP e pelos textos de Troy Hunt.

  • Destaca-se o impacto que o HaveIBeenPwned teve na conscientização dos usuários.

  • Sente-se que a SpyCloud tem um conjunto de dados maior e contribui diretamente com empresas para realmente mitigar a reutilização de credenciais, mas não recebe reconhecimento suficiente.

  • Reflete-se sobre como, nos últimos 10 anos, vítimas de stalking podem ter usado o HaveIBeenPwned para pensar na possibilidade de suas contas e privacidade terem sido comprometidas.

  • O site mantém a posição de que o usuário deve primeiro se cadastrar e ocultar suas informações dos resultados de busca antes que um agente mal-intencionado use o serviço.

  • Compartilha-se como remover suas informações das buscas públicas no HaveIBeenPwned para pessoas com foco em privacidade.

  • Há uma menção a Troy Hunt curtindo a liberdade enquanto anda de jet ski.