1 คะแนน โดย GN⁺ 2023-12-05 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Have I Been Pwned (HIBP) ที่ Troy Hunt เปิดตัวเมื่อวันที่ 4 ธันวาคม 2013 เริ่มจากโปรเจกต์ส่วนตัวสำหรับตรวจสอบด้วยอีเมลว่าข้อมูลรั่วไหลหรือไม่ และ 10 ปีต่อมากลายเป็นโครงสร้างพื้นฐานด้านความปลอดภัยที่บุคคล องค์กร และรัฐบาลพึ่งพา
  • การเลือกชื่อนี้เกิดขึ้นในช่วงที่หาโดเมน .com ธรรมดาได้ยาก และไม่ได้มองว่าเป็นโปรเจกต์ที่จะอยู่ได้นาน แต่คำว่า pwned ในปัจจุบันเชื่อมโยงกับ HIBP อย่างแน่นแฟ้น
  • ผ่านการปรากฏในสื่อ การให้ปากคำต่อรัฐสภาสหรัฐฯ ความร่วมมือกับหน่วยงานบังคับใช้กฎหมายอย่าง FBI และ NCA ของสหราชอาณาจักร รวมถึงการเปิดตัว Pwned Passwords บทบาทของ HIBP จึงขยายเกินกว่าการเป็นเว็บไซต์ค้นหาธรรมดา
  • Project Svalbard ซึ่งเป็นโปรเจกต์พิจารณาการขายกิจการในปี 2019 ดำเนินไปท่ามกลางความเครียดส่วนตัวและปัญหาการพึ่งพาบริการ แต่สุดท้ายล้มเหลว และ Hunt ได้ยืนยันอีกครั้งว่าความเป็นอิสระเป็นสิ่งสำคัญสำหรับเขา
  • คาดว่าการรั่วไหลของข้อมูลจะยังเพิ่มขึ้นต่อไป และ HIBP จะขยับไปสู่การดำเนินงานที่เป็นทางการมากขึ้น แต่พยายามหลีกเลี่ยงการเติบโตเป็นองค์กรขนาดใหญ่และภาระที่ Hunt ไม่ต้องการ

จากโปรเจกต์เล็ก ๆ สู่โครงสร้างพื้นฐานที่อยู่มา 10 ปี

  • เมื่อวันที่ 4 ธันวาคม 2013 Troy Hunt เปิดตัวบริการด้วยทวีตว่า “Have I Been Pwned?” เริ่มทำงานแล้ว
  • วันถัดมา เขาเผยแพร่ในบล็อกถึงวิธีที่ทำให้ค้นหาเรคอร์ด 154 ล้านรายการ ได้อย่างรวดเร็ว และบทความที่ติดแท็ก HIBP มีจำนวนถึง 185 บทความ นับถึงบทความครบรอบ 10 ปี
  • บทความย้อนมองครบรอบ 10 ปีครอบคลุมทั้งวิธีสร้างบริการ การตัดสินใจด้านการดำเนินงาน เหตุการณ์ละเมิดข้อมูลหลายครั้ง และประสบการณ์บางส่วนที่ก่อนหน้านี้ยังไม่เคยเล่าสู่สาธารณะ

ทำไมจึงเป็น “Pwned”

  • การเลือกชื่อนี้มีความจริงที่ว่าโดเมน .com สำหรับชื่อภาษาอังกฤษธรรมดาหาได้ยาก และตอนนั้นก็ไม่ได้คาดหวังมากว่าโปรเจกต์จะอยู่ได้นาน
  • “pwned” ค่อย ๆ เชื่อมโยงกับ HIBP จนแทบเป็นคำพ้องความหมาย และสำหรับหลายคน คำนี้เป็นคำที่ได้พบครั้งแรกในบริบท “Have I Been...”
  • ในแหล่งข้อมูลออนไลน์ที่อธิบายความหมายของ “pwned” ก็มี HIBP ที่ Hunt สร้างขึ้นในปี 2013 เป็นตัวอย่าง
  • เนื่องจากชื่อนี้มักถูกออกเสียงผิดหรือพิมพ์ผิด Hunt จึงถือครองโดเมนแบบต่าง ๆ ไว้หลายรายการ
    • haveibeenpaened.com
    • haveibeenpwnded.com
    • haveibeenporned.com
    • haveibeenprawned.com
    • haveibeenburned.com
    • haveigotpwned.com
    • haveibeenrekt.com
    • haveibeenfucked.com

การปรากฏในสื่อและแรงกระแทกจากทราฟฟิก

  • ทุกครั้งที่เหตุข้อมูลรั่วไหลกลายเป็นข่าวกระแสหลัก HIBP มักถูกกล่าวถึงบ่อย ๆ ว่าเป็น “ที่สำหรับตรวจสอบว่าตนได้รับผลกระทบหรือไม่”
  • การออกสื่อช่วยเพิ่มการรับรู้ แต่หลังรายการ Martin Lewis Money Show ในสหราชอาณาจักรออกอากาศในปี 2016 ก็ทำให้เกิดทราฟฟิกมากจนบริการออฟไลน์
    • Hunt ได้บทเรียนจากประสบการณ์นี้ในการรับมือกับทราฟฟิกที่พุ่งสูงมาก และดำเนินมาตรการเพื่อไม่ให้เกิดเหตุแบบเดิมอีก
  • ในปี 2018 Gizmodo จัดให้ HIBP เป็นหนึ่งใน “100 เว็บไซต์ที่หล่อหลอมอินเทอร์เน็ต” ร่วมกับ Wikipedia, Google, Amazon และอื่น ๆ
  • ในปี 2014 TIME เลือก HIBP เป็นหนึ่งใน 50 เว็บไซต์ยอดเยี่ยม แห่งปี
  • HIBP ยังปรากฏในสื่อหลักหลายแห่ง เช่น The Wall Street Journal, The Standard, USA Today, Toronto Star, De Telegraaf, VG, Le Monde และ Corriere della Sera

การให้ปากคำต่อรัฐสภาสหรัฐฯ

  • ราว 6 ปีก่อน Hunt ให้ปากคำต่อ Congress ของสหรัฐฯ เกี่ยวกับผลกระทบของข้อมูลรั่วไหลต่อการยืนยันตัวตน
  • เนื่องจากเป็นการไต่สวนสาธารณะ จึงมี วิดีโอคำให้การ บันทึกไว้
  • ประสบการณ์ที่ได้ตอบคำถามของสมาชิกสภากลายเป็นหนึ่งในช่วงเวลาที่น่าจดจำที่สุดในอาชีพของ Hunt
  • ภาพถ่ายในเวลานั้นปัจจุบันแขวนอยู่บนผนังนอกสำนักงานของเขา และคอยย้ำเตือนว่า HIBP เดินทางมาถึงจุดนั้นได้อย่างไร

Project Svalbard และการขายกิจการที่ล้มเหลว

  • ในเดือนมิถุนายน 2019 Hunt เปิดเผยความเป็นไปได้ในการขาย HIBP ภายใต้ชื่อ Project Svalbard
  • เหตุผลสำคัญอย่างหนึ่งของการตัดสินใจในตอนนั้นคือ ความเครียด และอีกกว่าหนึ่งปีต่อมา เขาเปิดเผยว่าสาเหตุสำคัญของความเครียดนั้นคือการหย่าร้าง
  • ปัญหาความสัมพันธ์สร้างแรงกดดันอย่างมาก และ Hunt มองว่าการขายโปรเจกต์ที่เขารักแต่มีความต้องการเพิ่มขึ้นเรื่อย ๆ อาจเป็นทางออก
  • Project Svalbard กลับนำไปสู่ข้อพิพาททางกฎหมายกับอดีตคู่สมรส และมูลค่าที่น่าจะเกิดขึ้นหากมีการขายก็กลายเป็นส่วนหนึ่งของข้อพิพาท
  • ระหว่างการหารือกับบริษัทเทคโนโลยีหลายแห่งในซานฟรานซิสโกเกี่ยวกับความเป็นไปได้ในการเข้าซื้อกิจการ เมื่อว่าที่เจ้านายใหม่คนหนึ่งถามถึง “หนึ่งวันในออฟฟิศที่สมบูรณ์แบบ” Hunt ก็ตระหนักว่าความเป็นอิสระสำคัญกับเขาเพียงใด
  • อีก 6 เดือนต่อมา Project Svalbard สิ้นสุดลงเมื่อดีลที่กำลังจะเกิดขึ้นล้มเหลว
    • เขาไม่สามารถบอกสถานการณ์ที่แน่ชัดได้เพราะ NDA และถ้อยคำที่ใช้ต่อสาธารณะคือ “การเปลี่ยนแปลงในสภาพแวดล้อมทางธุรกิจฝั่งผู้ซื้อ”
    • เมื่อมองย้อนกลับไป Hunt เห็นว่าตนสูญเสียหลายอย่าง แต่รู้สึกโล่งใจมากกับผลลัพธ์นั้น

ความร่วมมือกับ FBI, NCA และหน่วยงานบังคับใช้กฎหมาย

  • สำหรับ Hunt เมื่อ 10 ปีก่อน สถานการณ์ที่ FBI จะเชื่อมโยงกับ HIBP อย่างเปิดเผยเป็นเรื่องที่คาดไม่ถึง
  • FBI ส่งข้อมูลให้ HIBP และ NCA ของสหราชอาณาจักร รวมถึงหน่วยงานบังคับใช้กฎหมายหลายแห่งทั่วโลกก็ให้ข้อมูลเช่นกัน
  • รัฐบาลของหลายประเทศก็เริ่มพูดอย่างเปิดเผยถึงการใช้ HIBP
  • ABC ในเดือนกันยายน 2023 กล่าวถึงบทบาทของ HIBP และ Hunt ว่าเป็น “สัญญาณประหลาดของยุคสมัย” และประเมินว่า “คนคนหนึ่งบนเว็บ” กลายมามีบทบาทสำคัญอย่างแปลกประหลาดในความมั่นคงปลอดภัยไซเบอร์ระดับโลก
  • จุดประสงค์ของ HIBP คือ “ทำสิ่งดีหลังจากมีสิ่งเลวร้ายเกิดขึ้น” ซึ่งสอดคล้องกับเป้าหมายของหน่วยงานบังคับใช้กฎหมายที่ต้องการปกป้องผู้คน
  • Hunt ไม่เข้าใจเมื่อ 10 ปีก่อนว่าหน่วยงานบังคับใช้กฎหมายมักทำงานร่วมกับบริษัทเอกชนเพื่อปกป้องผู้คน แต่ตอนนี้เขามีความสัมพันธ์ที่สร้างสรรค์กับผู้คนจากหลายหน่วยงาน

การเติบโตของ Pwned Passwords

  • เดิมทีไม่มีแผนใส่รหัสผ่านเข้าไปใน HIBP และ Hunt เห็นว่าควรหลีกเลี่ยงสถานการณ์ที่รหัสผ่านปรากฏอยู่ข้างชื่อผู้ใช้
  • อย่างไรก็ตาม เขามองว่า รายการรหัสผ่านที่รั่วไหล ซึ่งแยกออกจากข้อมูลส่วนบุคคล อาจเป็นวิธีใช้ข้อมูลจากการละเมิดเพื่อจุดประสงค์ที่ดีได้
  • Pwned Passwords เปิดตัวในปี 2017
  • ในเดือนกันยายน 2023 Pwned Passwords มีคำขอ 282 ล้านครั้ง ในหนึ่งวัน และยอดคำขอสะสม 30 วันเกิน 6 พันล้านครั้ง
  • ตามสถิติล่าสุด ณ เวลาที่เขียนบทความย้อนหลัง มีหนึ่งสัปดาห์ที่รองรับคำขอ 301.6 ล้านครั้งต่อวัน และ 100.0000000000% ของคำขอเหล่านั้นถูกให้บริการจากแคชของ Cloudflare
  • บริการนี้ใช้ฟรี ไม่ต้องยืนยันตัวตน ทั้งโค้ดและข้อมูลเป็นโอเพนซอร์ส และ FBI เป็นผู้ส่งข้อมูลให้
  • Hunt มองว่าบัญชีจำนวนมากที่ถูกยึดจากการโจมตีแบบ credential stuffing ต่อบริการออนไลน์ขนาดใหญ่นั้นใช้รหัสผ่านที่สามารถถูกบล็อกได้

ความย้อนแย้งของการจัดการข้อมูลรั่วไหล

  • HIBP มี ความย้อนแย้ง ในฐานะบริการที่จัดการข้อมูลรั่วไหลซึ่งเป็นผลผลิตของอาชญากรรม ขณะเดียวกันก็พยายามทำประโยชน์สาธารณะ
  • บางคนบอกว่าจะรายงาน FBI เพราะเขาถือครองข้อมูลที่ถูกขโมย แต่ Hunt ทำงานร่วมกับ FBI อยู่แล้ว
  • ยังมีคำวิจารณ์ว่า “ประมวลผลข้อมูลโดยไม่ได้รับความยินยอม” โดยอ้างกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะใน EU และ GDPR
  • Hunt มองว่าไม่มีใครยินยอมให้ข้อมูลของตนไปอยู่ในการรั่วไหลตั้งแต่แรก และเหตุการณ์ข้อมูลรั่วไหลกับการที่ HIBP ทำดัชนีให้ค้นหาได้เป็นคนละประเด็นในการถกเถียงกัน
  • ตลอด 10 ปี ข้อร้องเรียนโดยรวมมีน้อยมาก ระดับที่นับจำนวนกรณีต่อปีได้ด้วยมือข้างเดียว
  • ข้อร้องเรียนอย่างเป็นทางการที่ผ่านหน่วยงานกำกับดูแลข้อมูลส่วนบุคคลของรัฐบาลเกิดขึ้น ครั้งเดียว ในรอบ 10 ปี และปิดเรื่องหลังจาก Hunt ตอบคำถามแล้ว

ผู้คนและโครงสร้างการดำเนินงาน

  • ตอนแรก HIBP เป็นโปรเจกต์งานอดิเรกที่ Hunt ทุ่มเวลาให้คนเดียว
  • งานช่วงแรกประกอบด้วยการสร้างบริการ การได้มาซึ่งข้อมูลละเมิด การตรวจสอบ การเผยแพร่ การเขียนคำอธิบาย และการแก้ไข โลโก้มากกว่า 700 รายการ ด้วยตัวเอง
  • ตอนนี้เมื่อมันกลายเป็นส่วนสำคัญของอินเทอร์เน็ตที่บุคคล องค์กร และรัฐบาลจำนวนมากพึ่งพา ปัญหาการพึ่งพา Hunt คนเดียวจึงใหญ่ขึ้น
  • เบื้องหลังการพิจารณาขายในปี 2019 ก็มีส่วนหนึ่งมาจาก “โครงสร้างที่พึ่งพา Hunt เพียงคนเดียว”
  • ยังมีทางเลือกที่จะจ้างคนและขยายแบบบริษัททั่วไป แต่ Hunt ไม่ได้มองว่าความรับผิดชอบอย่างสัญญาจ้าง การเจรจาเงินเดือน การประเมินผลงาน การลาป่วยและวันลาพักร้อนเป็นเรื่องน่าดึงดูด
  • บทบาทของ Charlotte

    • ต้นปี 2021 Charlotte ซึ่งในตอนนั้นกำลังจะเป็นภรรยาของเขา เริ่มทำงานที่ HIBP
    • Charlotte เคยเป็นผู้จัดการโปรเจกต์ของงานประชุม NDC ในฐานที่นอร์เวย์เป็นเวลา 8 ปี โดยทำงานกับนักพัฒนาซอฟต์แวร์ วิทยากร ผู้เข้าร่วมงาน สปอนเซอร์ และผู้เข้าร่วมจากบริษัทต่าง ๆ
    • แม้ไม่ใช่ผู้รับผิดชอบด้านเทคนิค แต่เธอมีปริญญาด้าน PR และสตาร์ทอัพ และคุ้นเคยกับโลกเทคโนโลยีที่ HIBP อยู่
    • Charlotte ดูแลการออนบอร์ดสมาชิกแบบองค์กร ตั๋วซัพพอร์ตสำหรับผู้ใช้ API และสมาชิกโดเมน รวมถึงงานบัญชีและภาษี
  • บทบาทของ Stefán Jökull Sigurðarson

    • ต้นปี 2023 Stefán Jökull Sigurðarson เข้าร่วมแบบพาร์ตไทม์ เพื่อรับผิดชอบงานพัฒนาหลายอย่าง เช่น เขียนโค้ด จัดระเบียบ และไมเกรต
    • Stefán ติดตามบริการมาตั้งแต่ HIBP เปิดตัว และในต้นปี 2018 เขาพัฒนาหนึ่งในการเชื่อมต่อขนาดใหญ่ยุคแรกของ PwnedPasswords v2 API ที่ EVE
    • เขามองว่า HIBP กลายเป็นส่วนหนึ่งของเส้นทางที่นำไปสู่อาชีพการพูดในที่สาธารณะ การมีส่วนร่วมในโอเพนซอร์ส บทบาท MVP และการช่วยให้อินเทอร์เน็ตปลอดภัยขึ้น
    • Hunt เห็นว่าสิ่งสำคัญคือ HIBP สำหรับ Stefán ไม่ใช่แค่งาน แต่เป็นความหลงใหล

กรณีข้อมูลรั่วไหลที่น่าจดจำ

  • ตลอด 10 ปี มีเหตุละเมิดข้อมูลที่รวมอยู่ใน HIBP จำนวน 731 เหตุการณ์
  • Ashley Madison

    • เหตุการณ์ในปี 2015 ส่งผลอย่างมากต่อการใช้งาน HIBP และทิ้งร่องรอยลึกไว้ในการสื่อสารที่ Hunt มีกับผู้เสียหาย
    • สิ่งที่สมาชิก Ashley Madison บอกกับ Hunt ยังคงเป็นบทความที่อ่านได้ยาก
  • Collection #1

    • ในต้นปี 2019 เหตุการณ์นี้เพิ่มความเครียดให้ Hunt อย่างมาก และมีอิทธิพลลึกซึ้งต่อการตัดสินใจพิจารณาขายบริการ
    • ด้วยจำนวน 773 ล้านรายการ นี่เป็นการละเมิดข้อมูลที่ใหญ่ที่สุดใน HIBP จนถึงเวลาที่เขียนบทความย้อนหลัง
  • Rosebutt

    • เป็นกรณีที่แสดงให้เห็นว่าแม้เหตุข้อมูลรั่วไหลร้ายแรง บางครั้งก็สร้างช่วงเวลาขบขันได้
  • Shit Express

    • เป็นกรณีที่เว็บไซต์สำหรับส่งชิ้นส่วนอุจจาระแบบไม่เปิดเผยตัวตนถูกละเมิด ทำให้ความเป็นนิรนามสั่นคลอน
    • ต่อมา Hunt เขียนว่า คำกล่าวอ้างเรื่องความนิรนาม มักทำให้เข้าใจผิดอย่างมาก

ทิศทางต่อจากนี้

  • ชีวิตประจำวันของ Hunt คล้ายกับการเริ่มเช้าด้วยการตรวจอีเมลและเหตุการณ์ที่เกิดขึ้นข้ามคืน จากนั้นจึงขยับไปตามงานที่ต้องทำในวันนั้น
  • วิธีดำเนินงานแบบนี้เชื่อมโยงกับเหตุผลที่เขาไม่ต้องการให้ HIBP เติบโตเป็นองค์กรที่มีความรับผิดชอบใหญ่ขึ้น
  • ในขณะเดียวกัน HIBP ก็กำลังค่อย ๆ เป็นทางการ มากขึ้น
    • 3 ปีก่อน Hunt ทำทุกอย่าง 100% ด้วยตัวเอง
    • 1 ปีก่อน เขาทำงานด้านเทคนิคทั้งหมดด้วยตัวเอง
    • 6 เดือนก่อน ยังไม่มีระบบตั๋วสำหรับซัพพอร์ต
  • Hunt อยากให้ HIBP อยู่ได้นานกว่าตัวเขา แต่ไม่อยากให้กระบวนการนั้นกลายเป็นภาระที่ผูกมัดตัวเอง
  • เขามองว่าจะยังมีเหตุละเมิดข้อมูลเกิดขึ้นมากขึ้นต่อไป และกล่าวว่าช่วงหลังรู้สึกว่าแรนซัมแวร์เพิ่มขึ้นอย่างรวดเร็ว
  • ยังมีคำถามว่าผู้คนที่อยู่ในอีเมล เอกสาร และข้อมูลหลายประเภทที่ถูกเผยแพร่จากแรนซัมแวร์ จะได้รู้หรือไม่ว่าตนถูกเปิดเผย
  • การทำดัชนีข้อมูลเหล่านั้นไม่ใช่เรื่องง่ายด้วยหลายเหตุผล แต่เขามองว่ามันดูเหมือนงานที่มีคุณค่ามากขึ้นเรื่อย ๆ

1 ความคิดเห็น

 
GN⁺ 2023-12-05
ความคิดเห็นจาก Hacker News
  • Troy Hunt เป็นบุคคลที่มีคุณค่ามากจริง ๆ และถ้าคุณเป็นนักพัฒนาเว็บแอปพลิเคชัน ก็ไม่มีข้ออ้างที่จะไม่ทำ การป้องกัน credential stuffing
    วิธีที่ดีที่สุดน่าจะเป็นการยืนยันตัวตนแบบสองขั้นตอน[1] แต่การตรวจเทียบกับฐานข้อมูลรหัสผ่านที่ถูกแฮชของ Hunt ก็เป็นการป้องกันที่ดีพอสมควรโดยไม่เพิ่มภาระให้ผู้ใช้
    แม้ไม่มีข้อมูลอ้างอิง แต่ผมคิดว่าบัญชีที่ถูกยึดส่วนใหญ่ท่วมท้นมาจาก credential stuffing หรือการใช้รหัสผ่านซ้ำ พอได้ยินว่าบริษัทใหญ่ ๆ ไม่ทำการตรวจแบบนี้ก็แปลกใจ และการตั้งค่าก็ง่ายมาก น่าจะทำได้ในราวหนึ่งวัน
    ถ้าคุณเป็น CTO รุ่นใหม่หรือวิศวกรเว็บแอปช่วงเริ่มต้น วันหนึ่งคุณอาจเจอสายโทรเข้าแบบถล่มตอนตี 1 เว็บไซต์โดนถล่ม ตอนแรกคิดว่าเป็น DDoS แล้วค่อยรู้ว่าทราฟฟิกส่วนใหญ่ไหลไปที่หน้าเข้าสู่ระบบ และขนลุกเมื่อพบว่าบางส่วนเข้าสู่ระบบสำเร็จจริง จากนั้นต้องรับมือทั้งคืนและต้องแจ้งเหตุละเมิดข้อมูลด้วย ซึ่งทรมานมากจริง ๆ
    ฐานข้อมูลฟรีของ Troy Hunt น่าจะช่วยลดความเจ็บปวดนั้นได้ ดังนั้นทำไปเถอะ

    1. https://cheatsheetseries.owasp.org/cheatsheets/Credential_St...
    2. กรณีอย่าง 23andMe https://news.ycombinator.com/item?id=37794379
    • ราว 10 ปีก่อน ในงานที่เจ้าหน้าที่ FBI คนหนึ่งขึ้นบรรยาย ผมได้ยินเรื่องว่าผู้ดูแลระบบคนหนึ่งเอา ฐานข้อมูลรหัสผ่านที่ถูกแฮช ของบริษัทไปตรวจเทียบกับแฮชที่รู้ว่ารั่วไหลแล้ว และส่งเมลแจ้งพร้อมบังคับรีเซ็ตรหัสผ่านให้พนักงานที่ใช้รหัสผ่านซ้ำ แล้วถูกจับ
      พนักงานคนหนึ่งโกรธจัดว่าเป็นการละเมิดความเป็นส่วนตัว ผมจำไม่ได้ว่าใครเป็นคนเริ่มดำเนินการทางกฎหมาย แต่ข้อสรุปของเจ้าหน้าที่ FBI และผู้พิพากษาคือ แม้ผู้ดูแลระบบจะมีเจตนาปรับปรุงความปลอดภัย การเข้าถึงแฮชรหัสผ่านที่ตนรับผิดชอบอยู่โดยตัวมันเองก็ถือเป็นการละเมิดความเป็นส่วนตัวในเชิงอาญา
      ถ้าเจ้าหน้าที่ FBI คนนั้นไม่ได้แต่งเรื่องขึ้นมา ก่อนตรวจว่ามีแฮชรหัสผ่านของพนักงานอยู่ใน haveibeenpwned หรือไม่ ก็ดูจะรอบคอบกว่าหากให้ ทีมกฎหมายตรวจทาน ก่อน
    • นอกจากการยืนยันตัวตนแบบสองขั้นตอนแล้ว การใส่ rate limiting ที่ endpoint สำหรับเข้าสู่ระบบ โดยอิงทั้งที่อยู่ IP และชื่อผู้ใช้ จะเป็นการป้องกันที่แข็งแรงกว่ามากต่อการโจมตีนี้
      ตัวอย่างเช่น หากมีการเข้าสู่ระบบล้มเหลว 20 ครั้งจาก IP เดียวกันหรือชื่อผู้ใช้เดียวกันในช่วง 1 นาทีล่าสุด ก็ให้บล็อก IP หรือชื่อผู้ใช้นั้น 15 นาที เกตเวย์ API, K8s ingress ฯลฯ จำนวนมากรองรับได้ง่ายมาก และถึงไม่มีก็สามารถเก็บจำนวนความพยายามเข้าสู่ระบบล่าสุดไว้ในที่อย่าง Redis แล้วเพิ่มโค้ดไม่กี่บรรทัดได้
      การตรวจเทียบกับฐานข้อมูล HIBP ก็เป็นตัวเลือกที่ดี แต่สำหรับการหยุดการโจมตีแบบนี้ rate limiting มีประสิทธิภาพกว่ามาก
    • ผมยังไม่ค่อยเข้าใจกระบวนการ ถ้าฐานข้อมูลมีรหัสผ่านที่ถูกแฮชอยู่ เราจะรู้ได้อย่างไรว่าเว็บไซต์ของผมกับฐานข้อมูลใช้ salt และวิธีแฮช เดียวกัน?
      เช่น แม้ Tumblr จะถูกแฮ็กและรหัสผ่าน hunter2 ของผมรั่วไหล แต่ถ้า Tumblr ใช้ HMAC-MD5 แบบง่ายที่มี salt และเว็บไซต์ของผมใช้ argon2 พร้อม salt คนละค่าแน่นอน ต่อให้เป็นรหัสผ่านเดียวกัน ผลลัพธ์แฮชก็จะต่างกัน ผมเลยไม่เข้าใจว่าสิ่งนี้ช่วยป้องกัน credential stuffing ได้อย่างไร
    • ถ้ากำลังสร้างระบบล็อกอิน/ยืนยันตัวตนใหม่ตั้งแต่ต้น ทางที่ดีคืออย่ารับรหัสผ่านมาเก็บไว้ในฐานข้อมูล
      ตั้งค่า social OAuth, SSO, อีเมล magic link แล้วโยนให้เป็นปัญหาของคนอื่นดีกว่า
    • ผมไม่เห็นว่าทำไมเราต้องรู้สึกผิดถ้าผู้ใช้ตั้งรหัสผ่านเป็น 1234
      ถ้าไม่ใช่เว็บไซต์ที่มุ่งบริการคนกลุ่มเปราะบาง ผมมองว่านั่นเป็นความรับผิดชอบของผู้ใช้ เหมือนคอมเมนต์อื่น ๆ ผู้ใช้แบบนี้น่าจะแก้ข้อผิดพลาดด้วยวิธีง่ายที่สุดอย่าง 1234ชื่อเว็บไซต์
      ไม่ว่าจะเพิ่มข้อจำกัดอะไรในช่องใส่รหัสผ่าน ผมคิดว่ามันลด entropy และแม้จะเล็กน้อย ก็ลดความปลอดภัยของทุกคนลง
  • ผมจำได้ว่าเว็บไซต์นี้เคยให้ประสบการณ์ที่ยอดเยี่ยม แต่ตอนนี้รู้สึกเหมือนเป็นช่องทางหาเงินที่ต้องจ่าย ปีละ $169.50 ถึงจะดูบัญชีที่รั่วไหลได้ 100 บัญชี
    ผมใช้ที่อยู่อีเมลเฉพาะสำหรับแต่ละเว็บไซต์เพื่อตรวจจับข้อมูลรั่วไหล แต่พอพยายามค้นหาผลลัพธ์ของโดเมนที่เคยยืนยันความเป็นเจ้าของโดเมนไว้แล้ว กลับเจอข้อผิดพลาดว่า “หากต้องการค้นหาโดเมนที่มีบัญชีรั่วไหลเกิน 10 บัญชี จำเป็นต้องมีการสมัครสมาชิกขนาดที่เพียงพอ”
    แย่กว่านั้นคือ Troy ยังนับรวมชุดข้อมูลสาธารณะเป็น ‘การรั่วไหล’ เพื่อปั่นโควตาจำนวนบัญชีให้สูงขึ้นแบบเทียม ๆ ด้วย เช่น ตอนที่ชุดข้อมูลรายชื่อติดต่อสาธารณะที่ scrape จาก GitHub รั่ว ก็ถูกนับเป็นการรั่วไหล ทั้งที่อีเมลของผมตั้งใจเปิดเผยต่อสาธารณะอยู่แล้ว
    ถ้าเป็นบริการต้นทุนต่ำแบบนี้ ผมยินดีจ่ายปีละ 5–12 ดอลลาร์ แต่ราคาปัจจุบันเกินเหตุไปมาก

    • ผมเจอเรื่องเดียวกัน และหวังว่าจะมี แพ็กเกจราคาแยกต่างหาก สำหรับคนอย่างเรา อาจคุ้มที่จะลองติดต่อไปถาม
    • ถ้าดาวน์โหลดฐานข้อมูลจาก DarkNet มารันในเครื่อง ก็ไม่ต้องจ่ายเงิน
      ข้อเสียคือคุณต้องดูแลฐานข้อมูลเองและอัปเดตบ่อย ๆ ผมเห็นบริการหาเงินแบบนี้เกิดขึ้นไม่น้อย โดยเก็บเงินขายการเข้าถึงฐานข้อมูลผ่าน API
    • การรันโดเมนอีเมลของตัวเอง ใช้ที่อยู่ต่างกันในแต่ละเว็บไซต์ และสแกนแม้กระทั่งว่าโดเมนส่วนตัวรั่วไหลหรือไม่ เป็นรูปแบบการใช้งานที่ค่อนข้างเฉพาะทางมาก
      จะมอง use case ที่เฉพาะเจาะจงมากแบบนั้นว่าเป็น วัวเงินสด ของ Troy Hunt ก็ดูฝืนไป
    • ผมก็ใช้วิธีเดียวกัน และสงสัยมานานว่าทำไมไม่ได้รับการแจ้งเตือนการรั่วไหลเลย
      ผมไม่จำได้ว่าเคยเห็นการแจ้งเตือนเกี่ยวกับการเปลี่ยนแปลงนี้
    • อีกหนึ่งตัวอย่างของ “ทุกอย่างเป็นบริการ”
      ตอนแรกเริ่มจากบริการที่ดี แต่พอการใช้งานเพิ่มขึ้น ก็เอาฟีเจอร์ไปไว้หลัง กำแพงจ่ายเงิน และลดระดับบริการฟรีลงจนแทบไร้ประโยชน์ เป็นโมเดล freemium ที่แย่มาก Facebook ถึงจะแย่ แต่ก็ไม่ได้ไปไกลถึงขั้นนี้ และ “Facebook ฟรี” ก็แค่ถูกติดตามมากขึ้น แต่ฟังก์ชันยังคงอยู่เทียบเท่าปี 2010
  • การที่มีโดเมนดัดแปลงอย่าง haveibeenburned.com, haveigotpwned.com, haveibeenrekt.com และ haveibeenfucked.com ที่มีคนเสนอหลังจากรู้ว่า PornHub ติดตามอยู่ด้วยนั้น ค่อนข้างตลกในฐานะ ผลข้างเคียงของการโด่งดังในสื่อ

    • ผมชอบบล็อกของ PornHub มาโดยตลอด: https://www.pornhub.com/insights/
    • โดเมนสุดท้ายอาจน่าสนใจในฐานะคลัง revenge porn แต่การเผยแพร่เป็นสิ่งผิดกฎหมายในหลายเขตอำนาจศาล
      แทนอาจเป็นไปได้ที่จะสร้างฐานข้อมูล แฮชการจดจำใบหน้า ของ revenge porn แล้วอัปโหลดแฮชที่คล้ายใบหน้าตัวเองเพื่อตรวจดูว่ามีอยู่ที่ไหนสักแห่งบนออนไลน์หรือไม่
    • เมื่อหลายปีก่อนมีคู่เพื่อนสามีภรรยาที่ภรรยากำลังตั้งครรภ์ และพวกเขารู้สึกอายจริง ๆ กับข้อเท็จจริงที่ว่า “ทุกคนจะรู้ว่าเรา ‘ทำกันแล้ว’”
      เป็นระดับความเขินอายที่ผมไม่เคยนึกถึงมาก่อนเลย
    • นี่คือหลักฐานว่ากฎของอินเทอร์เน็ตยังใช้ได้อยู่ สิ่งใดมีอยู่ ก็มีเวอร์ชันโป๊ของสิ่งนั้น
  • ผมชอบบทความให้ความรู้ของ Hunt มาก
    จำได้ว่าเคยอ่านวิธีใช้ k-anonymity เพื่อเทียบไฟล์ pwned กับรหัสผ่านโดยไม่ต้องส่งข้อมูลส่วนบุคคลจริง ๆ และนั่นทำให้ผมไปศึกษาคอนเซปต์นี้ แล้วนำไปใช้ในโปรเจกต์งานด้วย
    บางครั้งก็คิดว่าถ้าไม่ได้อ่านบทความเหล่านั้นเกี่ยวกับการตรวจสอบโดยไม่ส่งข้อมูลส่วนบุคคลจริง ๆ ผมจะทำอย่างไร

    • k-anonymity เป็นเทคนิคที่ชาญฉลาดมาก และจำได้ว่าตอนอ่านครั้งแรกประทับใจกับความเรียบง่ายและประสิทธิผลของมัน
      อยากกล่าวถึง Junade Ali ด้วย ซึ่ง Troy ระบุว่าเป็นผู้เสนอแนวคิดนี้[1] เขาอธิบายละเอียดขึ้นในบทความที่เกี่ยวข้อง[2]
      ไม่ได้หมายความว่า Junade เป็นผู้คิดค้น เพราะดูเหมือนต้นกำเนิดจะเป็นของ Pierangela Samarati, Latanya Sweeney และ Tore Dalenius[3] แต่บทความบล็อกของเขาอธิบายได้ดีมากโดยเชื่อมกับแนวคิดที่นักพัฒนาซอฟต์แวร์คุ้นเคย
      [1] https://www.troyhunt.com/ive-just-launched-pwned-passwords-v...
      [2] https://blog.cloudflare.com/validating-leaked-passwords-with...
      [3] https://en.wikipedia.org/wiki/K-anonymity
  • พวกมิจฉาชีพขู่กรรโชกกำลังใช้ฐานข้อมูลรหัสผ่านที่ถูก pwned เพื่อสร้าง อีเมลฟิชชิง ที่ดูน่าเชื่อถือพอสมควร
    ประมาณว่า “ฉันติดตั้งเครื่องมือเข้าถึงระยะไกลไว้ในระบบของคุณแล้ว และแอบดูคุณผ่านเว็บแคม หลักฐานการแฮ็กคือรหัสผ่านนี้ ส่ง BTC มูลค่า 1,800 ดอลลาร์มาที่แอดเดรสนี้ และอย่าไปแจ้งตำรวจ คราวหน้าก็ใช้ password manager ซะ” ผมสงสัยว่ามีคนหลงกลแบบนี้จริงไหม
    ส่วนใหญ่น่าจะถูกตัวกรองสแปมบล็อกไว้ และผมเห็นเฉพาะตอนที่มันผ่านตัวกรอง SPF/DKIM มาได้ จึงเอาไปฝึกเพิ่ม ดูค่อนข้างฉลาดทีเดียว
    ตัวบริการเองผมขอบคุณมาก และก็ชอบอ่านบทความของ Troy Hunt ด้วย HIBP ยอดเยี่ยมมาก

    • คนในครอบครัวคนหนึ่งโทรมาหาด้วยความกังวลว่าอีเมลนั้นเป็นของจริงหรือไม่
      ในนั้นไม่ได้มีแค่รหัสผ่านเก่า แต่มี ที่อยู่ไปรษณีย์เต็มรูปแบบและเลข 4 หลักท้ายของบัตรเครดิต ด้วย และมีคนที่เชื่อจริง ๆ
    • การค้นหาใน Pwned Passwords จะคืนค่าเพียงจำนวนครั้งที่รั่วไหล โดยไม่มีแฮชหรือรหัสผ่านแบบ plaintext
      ฟีเจอร์นี้เพียงอย่างเดียวไม่สามารถทำให้การโจมตีแบบนั้นเกิดขึ้นได้
    • ไม่รู้ว่ามีคนโดนจริงหรือไม่ แต่เคยได้ยินกรณีที่ผู้ใช้ตกใจแล้วรีบไปให้ทีม IT ช่วยตรวจสอบ
      ผมเองก็เคยได้รับอีเมลแบบนี้หนึ่งหรือสองครั้ง แต่เดาไม่ออกเลยว่าเคยใช้รหัสผ่านที่ค่อนข้างอ่อนนั้นกับเว็บไซต์ไหน
    • ครั้งหนึ่งผมได้รับอีเมลที่มีรหัสผ่านของผมเป็น plaintext อยู่ในนั้น และรู้สึกไม่ดีเอามาก ๆ
      ค้นหาอย่างรวดเร็วแล้วพบว่าเป็นรหัสผ่านที่ไม่ได้ใช้กับที่ที่ผมให้ความสำคัญ จึงปล่อยผ่านไป แต่ถึงจะรู้ว่าเป็นรหัสผ่านเก่า ก็ยังรู้สึกค้างคาอยู่ดี
      ถ้าไม่ได้ใช้ password manager ผมคงตรวจได้ทันทีไม่ได้ว่ารหัสผ่านนั้นใช้ที่ไหน และต้องเค้นความทรงจำแทน ซึ่งจินตนาการความรู้สึกนั้นได้ยาก
  • ผลกระทบของ HaveIBeenPwned ต่อการรับรู้ของผู้ใช้นั้นน่าจับตา
    ในทางกลับกัน SpyCloud มี ชุดข้อมูลที่ใหญ่กว่า 30 เท่า และทำงานโดยตรงกับองค์กรต่าง ๆ เพื่อบรรเทาปัญหาการใช้รหัสผ่านซ้ำจริง ๆ แต่รู้สึกว่าไม่ได้รับการยอมรับมากพอ
    ถ้าเคยถูกขอให้รีเซ็ตรหัสผ่านตอนล็อกอินเข้าเว็บไซต์ใหญ่ ๆ หรือเคยได้รับอีเมลให้เปลี่ยนรหัสผ่านเพราะเป็นรหัสที่ใช้หลายที่ ก็มีความเป็นไปได้สูงว่า SpyCloud อยู่เบื้องหลัง

    • อาจไม่ได้ตั้งใจ แต่ถ้อยคำนั้นฟังเหมือน HIBP ไม่ได้ทำงานโดยตรงกับองค์กรต่าง ๆ เพื่อลดการใช้รหัสผ่านซ้ำ
      ความจริงคือทำอยู่ ตัวอย่างเช่นความร่วมมือกับ 1Password และ password manager อื่น ๆ, Firefox, FBI รวมถึงรัฐบาลสหราชอาณาจักรและออสเตรเลีย
    • การเปรียบเทียบบริการฟรีที่ช่วยคนหลายล้าน กับบริษัทที่ต้องสมัครสมาชิกสำหรับการใช้งานใด ๆ นั้นไม่ใช่การเทียบในระดับเดียวกัน
      อย่างหลังแทบไม่มีประโยชน์เลยสำหรับคนส่วนใหญ่
    • ผมคิดว่าจำนวนคนที่ลดการใช้รหัสผ่านซ้ำได้จริงจากการผสานข้อมูล pwned passwords ฟรีของ Troy น่าจะมากกว่าจำนวนลูกค้าของ SpyCloud
  • สำหรับคนที่ใส่ใจความเป็นส่วนตัว วิธีลบข้อมูลของตนออกจากการค้นหาสาธารณะอยู่ที่นี่
    https://haveibeenpwned.com/OptOut

    • ถ้าอีเมลของผมยังอยู่ในที่อย่าง Collection #1 หรือ Anti Public Combo List การยกเว้นออกจาก HIBP ก็ดูไม่ค่อยมีประโยชน์เท่าไร
      คนที่ต้องการใช้อีเมลไปทำเรื่องไม่ดีมีแนวโน้มจะดาวน์โหลดรายการต้นฉบับทั้งหมดมากกว่าจะไปขูดเว็บรวมข้อมูล
    • สงสัยว่ารองรับการยกเว้นทั้งโดเมนด้วยหรือไม่
    • แต่ต้องผ่าน Google ReCaptcha จึงน่าจะไม่ถูกใจคนที่อ่อนไหวเรื่องความเป็นส่วนตัว
      อ้างอิงไว้ว่ามีข้อความว่า “ผู้ดูแลโดเมนของที่อยู่อีเมลของคุณยังคงเห็นคุณได้ในการค้นหาโดเมน”
  • ตลอด 10 ปีที่ผ่านมา สงสัยว่ามีเหยื่อการสะกดรอยตามกี่คนที่ได้รู้ว่าผู้กระทำใช้ HaveIBeenPwned เป็นเครื่องมือแนะนำง่าย ๆ ในการค้นหาและละเมิดบัญชีกับความเป็นส่วนตัวของพวกเขา
    แน่นอนว่าจุดยืนของไซต์คือ เหยื่อต้องสมัครไว้ล่วงหน้าและปิดการแสดงผลในการค้นหาก่อนที่ผู้ไม่หวังดีจะมาใช้บริการ
    เท่ากับว่าการทำให้ผู้ใช้คนอื่นตกใจทันทีที่กรอกที่อยู่อีเมลว่า “ข้อมูลของคุณหลุดอยู่ข้างนอก!” สำคัญกว่าความปลอดภัยของผู้ใช้ มากกว่าการแสดงผลหลังยืนยันอีเมล

    • ถ้าใส่การยืนยันอีเมลเข้าไป ต้นทุนการให้บริการจะสูงขึ้นมากจนอาจไม่ยั่งยืน
      ถ้ามีที่อยู่อีเมลของใครสักคนอยู่แล้ว จำเป็นต้องใช้ HIBP จริง ๆ ไหมเพื่อหาว่าที่อยู่นั้นถูกใช้ที่ไหนบ้าง? แค่ Google ก็ได้ผลลัพธ์ออกมาเยอะแล้วไม่ใช่หรือ?
    • เห็นด้วย แย่กว่านั้นคือให้ข้อมูล 90% ที่ผู้โจมตีต้องการ แต่กลับไม่บอกเหยื่อว่าข้อมูลอะไรหลุดออกไปบ้าง
      อยากเห็น แฮช เพื่อให้รู้ได้ว่ารหัสผ่านไหนถูกละเมิด
    • ช่วยอธิบายเพิ่มได้ไหมว่า HIBP อาจถูกนำไปใช้ในทางที่ผิดได้อย่างไร? มันก็แค่ตรวจว่าอีเมลอยู่ในรายการข้อมูลรั่วไหลหรือเปล่าเท่านั้น
  • “ขี่เจ็ตสกีแล้วทำอะไรก็ได้ที่อยากทำ” นี่ Troy Hunt เป็น Mobius variant หรือเปล่า?

  • สงสัยว่าเขาเคยเขียนรายละเอียดเรื่องการหย่าไว้เยอะไหม
    ควรมองว่ามันยืดเยื้อและแพงเพราะกระบวนการแบ่งทรัพย์สิน 50% และตกลงว่าใครเป็นเจ้าของอะไรใช่ไหม?