數據泄露事故已經成為信息安全領域常見的事情,并且,由于用戶經常在多個網站和服務使用相同的登錄信息,受害者往往很難確定自己哪些賬號信息已經泄露,需要更改哪些信息。為了解決這個問題,一個新推出的網站希望成為泄露賬戶信息的一站式聚合網站。
當然,幫助潛在的數據泄露受害者確定其賬戶信息是否已經被泄露的網站并不是什么新鮮事。已經有幾個網站專門提供對Adobe泄露事故(其中泄露了約 1.53億賬戶信息)中泄露信息的查詢,例如,由在線密碼聚合服務LastPass創建的網站就詳細介紹了多少受害者曾使用相同的密碼。然而,這種網站的 問題在于,它們專注于特定的泄露事故,這讓用戶無法整合這些信息以及確定自己多少賬戶信息已經被泄露。這也正是haveibeenpwned.com試圖 完善的問題。
Haveibeenpwned由軟件架構師兼微軟開發安全最有價值專家Troy Hunt創建,這個網站聚合了多起安全泄露事故中泄露的賬號信息,而不只是最引人注目的某一起事故。這個網站的功能與其他類似網站基本相同。潛在的受害者 可以查詢電子郵件地址(沒有存儲密碼信息),然后該網站會確定這個地址是否在泄露賬號信息數據庫中。
到目前為止,haveibeenpwned僅涉及五起泄露事故的數據,包括2013年10月Adobe泄露事故、2012年7月雅虎泄露事故、2011年 12月Stratfor泄露事故、2011年索尼Playstation網絡泄露事故和2010年Gawker泄露事故。Hunt計劃從其他泄露事故中增 加更多數據到該網站,不過,最近發生的LinkedIn泄露事故并不會出現在其中,因為這只是泄露了密碼,而沒有電子郵件地址。
Hunt認為這個網站更重要的作用是處理未來數據泄露事故的數據。
“現在,這是個有點不公平的游戲,攻擊者和其他想要利用數據泄露事故用于惡意目的的人能夠迅速獲得和分析數據,但一般用戶卻不能輕松地獲取千兆字節的壓縮 賬戶信息,以確定他們的信息是否被泄露,”Hunt表示,“現在,我正在構建一個平臺,以快速整合未來數據泄露的信息,并讓可能受影響的用戶可以快速搜索這些信息,幫助用戶來應對未來的數據泄露事故。”
該網站背后的靈感源自于,Hunt的工作賬號和個人賬戶都在大規模Adobe泄露事故中被泄露了,他在查詢LastPass網站后才發現這個事實。他甚至不記得自己為什么有Adobe賬戶,他推測可能早在他使用Dreamweaver創建經典的Active Server Pages時就創建了Adobe賬戶。
Hunt表示:“問題是這些賬戶已經漂浮了這么久,當數據泄露事故發生時,我根本不知道我的賬戶被泄露,因為這個網站根本不是我的常用網站。”
根據Hunt的Twitter信息顯示,在第一天,haveibeenpwned就吸引了6.3萬訪客進行了16.2萬次搜索。32%查詢的電子郵件地址在其數據庫中。用戶現在可以在haveibeenpwned.com查詢自己的信息了。
京公網安備 11010502049343號