ประวัติ 10 ปีของ “Have I Been Pwned”
(troyhunt.com)- Have I Been Pwned (HIBP) ที่ Troy Hunt เปิดตัวเมื่อวันที่ 4 ธันวาคม 2013 เริ่มจากโปรเจกต์ส่วนตัวสำหรับตรวจสอบด้วยอีเมลว่าข้อมูลรั่วไหลหรือไม่ และ 10 ปีต่อมากลายเป็นโครงสร้างพื้นฐานด้านความปลอดภัยที่บุคคล องค์กร และรัฐบาลพึ่งพา
- การเลือกชื่อนี้เกิดขึ้นในช่วงที่หาโดเมน
.comธรรมดาได้ยาก และไม่ได้มองว่าเป็นโปรเจกต์ที่จะอยู่ได้นาน แต่คำว่า pwned ในปัจจุบันเชื่อมโยงกับ HIBP อย่างแน่นแฟ้น - ผ่านการปรากฏในสื่อ การให้ปากคำต่อรัฐสภาสหรัฐฯ ความร่วมมือกับหน่วยงานบังคับใช้กฎหมายอย่าง FBI และ NCA ของสหราชอาณาจักร รวมถึงการเปิดตัว Pwned Passwords บทบาทของ HIBP จึงขยายเกินกว่าการเป็นเว็บไซต์ค้นหาธรรมดา
- Project Svalbard ซึ่งเป็นโปรเจกต์พิจารณาการขายกิจการในปี 2019 ดำเนินไปท่ามกลางความเครียดส่วนตัวและปัญหาการพึ่งพาบริการ แต่สุดท้ายล้มเหลว และ Hunt ได้ยืนยันอีกครั้งว่าความเป็นอิสระเป็นสิ่งสำคัญสำหรับเขา
- คาดว่าการรั่วไหลของข้อมูลจะยังเพิ่มขึ้นต่อไป และ HIBP จะขยับไปสู่การดำเนินงานที่เป็นทางการมากขึ้น แต่พยายามหลีกเลี่ยงการเติบโตเป็นองค์กรขนาดใหญ่และภาระที่ Hunt ไม่ต้องการ
จากโปรเจกต์เล็ก ๆ สู่โครงสร้างพื้นฐานที่อยู่มา 10 ปี
- เมื่อวันที่ 4 ธันวาคม 2013 Troy Hunt เปิดตัวบริการด้วยทวีตว่า “Have I Been Pwned?” เริ่มทำงานแล้ว
- วันถัดมา เขาเผยแพร่ในบล็อกถึงวิธีที่ทำให้ค้นหาเรคอร์ด 154 ล้านรายการ ได้อย่างรวดเร็ว และบทความที่ติดแท็ก HIBP มีจำนวนถึง 185 บทความ นับถึงบทความครบรอบ 10 ปี
- บทความย้อนมองครบรอบ 10 ปีครอบคลุมทั้งวิธีสร้างบริการ การตัดสินใจด้านการดำเนินงาน เหตุการณ์ละเมิดข้อมูลหลายครั้ง และประสบการณ์บางส่วนที่ก่อนหน้านี้ยังไม่เคยเล่าสู่สาธารณะ
ทำไมจึงเป็น “Pwned”
- การเลือกชื่อนี้มีความจริงที่ว่าโดเมน
.comสำหรับชื่อภาษาอังกฤษธรรมดาหาได้ยาก และตอนนั้นก็ไม่ได้คาดหวังมากว่าโปรเจกต์จะอยู่ได้นาน - “pwned” ค่อย ๆ เชื่อมโยงกับ HIBP จนแทบเป็นคำพ้องความหมาย และสำหรับหลายคน คำนี้เป็นคำที่ได้พบครั้งแรกในบริบท “Have I Been...”
- ในแหล่งข้อมูลออนไลน์ที่อธิบายความหมายของ “pwned” ก็มี HIBP ที่ Hunt สร้างขึ้นในปี 2013 เป็นตัวอย่าง
- เนื่องจากชื่อนี้มักถูกออกเสียงผิดหรือพิมพ์ผิด Hunt จึงถือครองโดเมนแบบต่าง ๆ ไว้หลายรายการ
haveibeenpaened.comhaveibeenpwnded.comhaveibeenporned.comhaveibeenprawned.comhaveibeenburned.comhaveigotpwned.comhaveibeenrekt.comhaveibeenfucked.com
การปรากฏในสื่อและแรงกระแทกจากทราฟฟิก
- ทุกครั้งที่เหตุข้อมูลรั่วไหลกลายเป็นข่าวกระแสหลัก HIBP มักถูกกล่าวถึงบ่อย ๆ ว่าเป็น “ที่สำหรับตรวจสอบว่าตนได้รับผลกระทบหรือไม่”
- การออกสื่อช่วยเพิ่มการรับรู้ แต่หลังรายการ Martin Lewis Money Show ในสหราชอาณาจักรออกอากาศในปี 2016 ก็ทำให้เกิดทราฟฟิกมากจนบริการออฟไลน์
- Hunt ได้บทเรียนจากประสบการณ์นี้ในการรับมือกับทราฟฟิกที่พุ่งสูงมาก และดำเนินมาตรการเพื่อไม่ให้เกิดเหตุแบบเดิมอีก
- ในปี 2018 Gizmodo จัดให้ HIBP เป็นหนึ่งใน “100 เว็บไซต์ที่หล่อหลอมอินเทอร์เน็ต” ร่วมกับ Wikipedia, Google, Amazon และอื่น ๆ
- ในปี 2014 TIME เลือก HIBP เป็นหนึ่งใน 50 เว็บไซต์ยอดเยี่ยม แห่งปี
- HIBP ยังปรากฏในสื่อหลักหลายแห่ง เช่น The Wall Street Journal, The Standard, USA Today, Toronto Star, De Telegraaf, VG, Le Monde และ Corriere della Sera
การให้ปากคำต่อรัฐสภาสหรัฐฯ
- ราว 6 ปีก่อน Hunt ให้ปากคำต่อ Congress ของสหรัฐฯ เกี่ยวกับผลกระทบของข้อมูลรั่วไหลต่อการยืนยันตัวตน
- เนื่องจากเป็นการไต่สวนสาธารณะ จึงมี วิดีโอคำให้การ บันทึกไว้
- ประสบการณ์ที่ได้ตอบคำถามของสมาชิกสภากลายเป็นหนึ่งในช่วงเวลาที่น่าจดจำที่สุดในอาชีพของ Hunt
- ภาพถ่ายในเวลานั้นปัจจุบันแขวนอยู่บนผนังนอกสำนักงานของเขา และคอยย้ำเตือนว่า HIBP เดินทางมาถึงจุดนั้นได้อย่างไร
Project Svalbard และการขายกิจการที่ล้มเหลว
- ในเดือนมิถุนายน 2019 Hunt เปิดเผยความเป็นไปได้ในการขาย HIBP ภายใต้ชื่อ Project Svalbard
- เหตุผลสำคัญอย่างหนึ่งของการตัดสินใจในตอนนั้นคือ ความเครียด และอีกกว่าหนึ่งปีต่อมา เขาเปิดเผยว่าสาเหตุสำคัญของความเครียดนั้นคือการหย่าร้าง
- ปัญหาความสัมพันธ์สร้างแรงกดดันอย่างมาก และ Hunt มองว่าการขายโปรเจกต์ที่เขารักแต่มีความต้องการเพิ่มขึ้นเรื่อย ๆ อาจเป็นทางออก
- Project Svalbard กลับนำไปสู่ข้อพิพาททางกฎหมายกับอดีตคู่สมรส และมูลค่าที่น่าจะเกิดขึ้นหากมีการขายก็กลายเป็นส่วนหนึ่งของข้อพิพาท
- ระหว่างการหารือกับบริษัทเทคโนโลยีหลายแห่งในซานฟรานซิสโกเกี่ยวกับความเป็นไปได้ในการเข้าซื้อกิจการ เมื่อว่าที่เจ้านายใหม่คนหนึ่งถามถึง “หนึ่งวันในออฟฟิศที่สมบูรณ์แบบ” Hunt ก็ตระหนักว่าความเป็นอิสระสำคัญกับเขาเพียงใด
- อีก 6 เดือนต่อมา Project Svalbard สิ้นสุดลงเมื่อดีลที่กำลังจะเกิดขึ้นล้มเหลว
- เขาไม่สามารถบอกสถานการณ์ที่แน่ชัดได้เพราะ NDA และถ้อยคำที่ใช้ต่อสาธารณะคือ “การเปลี่ยนแปลงในสภาพแวดล้อมทางธุรกิจฝั่งผู้ซื้อ”
- เมื่อมองย้อนกลับไป Hunt เห็นว่าตนสูญเสียหลายอย่าง แต่รู้สึกโล่งใจมากกับผลลัพธ์นั้น
ความร่วมมือกับ FBI, NCA และหน่วยงานบังคับใช้กฎหมาย
- สำหรับ Hunt เมื่อ 10 ปีก่อน สถานการณ์ที่ FBI จะเชื่อมโยงกับ HIBP อย่างเปิดเผยเป็นเรื่องที่คาดไม่ถึง
- FBI ส่งข้อมูลให้ HIBP และ NCA ของสหราชอาณาจักร รวมถึงหน่วยงานบังคับใช้กฎหมายหลายแห่งทั่วโลกก็ให้ข้อมูลเช่นกัน
- รัฐบาลของหลายประเทศก็เริ่มพูดอย่างเปิดเผยถึงการใช้ HIBP
- ABC ในเดือนกันยายน 2023 กล่าวถึงบทบาทของ HIBP และ Hunt ว่าเป็น “สัญญาณประหลาดของยุคสมัย” และประเมินว่า “คนคนหนึ่งบนเว็บ” กลายมามีบทบาทสำคัญอย่างแปลกประหลาดในความมั่นคงปลอดภัยไซเบอร์ระดับโลก
- จุดประสงค์ของ HIBP คือ “ทำสิ่งดีหลังจากมีสิ่งเลวร้ายเกิดขึ้น” ซึ่งสอดคล้องกับเป้าหมายของหน่วยงานบังคับใช้กฎหมายที่ต้องการปกป้องผู้คน
- Hunt ไม่เข้าใจเมื่อ 10 ปีก่อนว่าหน่วยงานบังคับใช้กฎหมายมักทำงานร่วมกับบริษัทเอกชนเพื่อปกป้องผู้คน แต่ตอนนี้เขามีความสัมพันธ์ที่สร้างสรรค์กับผู้คนจากหลายหน่วยงาน
การเติบโตของ Pwned Passwords
- เดิมทีไม่มีแผนใส่รหัสผ่านเข้าไปใน HIBP และ Hunt เห็นว่าควรหลีกเลี่ยงสถานการณ์ที่รหัสผ่านปรากฏอยู่ข้างชื่อผู้ใช้
- อย่างไรก็ตาม เขามองว่า รายการรหัสผ่านที่รั่วไหล ซึ่งแยกออกจากข้อมูลส่วนบุคคล อาจเป็นวิธีใช้ข้อมูลจากการละเมิดเพื่อจุดประสงค์ที่ดีได้
- Pwned Passwords เปิดตัวในปี 2017
- ในเดือนกันยายน 2023 Pwned Passwords มีคำขอ 282 ล้านครั้ง ในหนึ่งวัน และยอดคำขอสะสม 30 วันเกิน 6 พันล้านครั้ง
- ตามสถิติล่าสุด ณ เวลาที่เขียนบทความย้อนหลัง มีหนึ่งสัปดาห์ที่รองรับคำขอ 301.6 ล้านครั้งต่อวัน และ 100.0000000000% ของคำขอเหล่านั้นถูกให้บริการจากแคชของ Cloudflare
- บริการนี้ใช้ฟรี ไม่ต้องยืนยันตัวตน ทั้งโค้ดและข้อมูลเป็นโอเพนซอร์ส และ FBI เป็นผู้ส่งข้อมูลให้
- Hunt มองว่าบัญชีจำนวนมากที่ถูกยึดจากการโจมตีแบบ credential stuffing ต่อบริการออนไลน์ขนาดใหญ่นั้นใช้รหัสผ่านที่สามารถถูกบล็อกได้
ความย้อนแย้งของการจัดการข้อมูลรั่วไหล
- HIBP มี ความย้อนแย้ง ในฐานะบริการที่จัดการข้อมูลรั่วไหลซึ่งเป็นผลผลิตของอาชญากรรม ขณะเดียวกันก็พยายามทำประโยชน์สาธารณะ
- บางคนบอกว่าจะรายงาน FBI เพราะเขาถือครองข้อมูลที่ถูกขโมย แต่ Hunt ทำงานร่วมกับ FBI อยู่แล้ว
- ยังมีคำวิจารณ์ว่า “ประมวลผลข้อมูลโดยไม่ได้รับความยินยอม” โดยอ้างกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะใน EU และ GDPR
- Hunt มองว่าไม่มีใครยินยอมให้ข้อมูลของตนไปอยู่ในการรั่วไหลตั้งแต่แรก และเหตุการณ์ข้อมูลรั่วไหลกับการที่ HIBP ทำดัชนีให้ค้นหาได้เป็นคนละประเด็นในการถกเถียงกัน
- ตลอด 10 ปี ข้อร้องเรียนโดยรวมมีน้อยมาก ระดับที่นับจำนวนกรณีต่อปีได้ด้วยมือข้างเดียว
- ข้อร้องเรียนอย่างเป็นทางการที่ผ่านหน่วยงานกำกับดูแลข้อมูลส่วนบุคคลของรัฐบาลเกิดขึ้น ครั้งเดียว ในรอบ 10 ปี และปิดเรื่องหลังจาก Hunt ตอบคำถามแล้ว
ผู้คนและโครงสร้างการดำเนินงาน
- ตอนแรก HIBP เป็นโปรเจกต์งานอดิเรกที่ Hunt ทุ่มเวลาให้คนเดียว
- งานช่วงแรกประกอบด้วยการสร้างบริการ การได้มาซึ่งข้อมูลละเมิด การตรวจสอบ การเผยแพร่ การเขียนคำอธิบาย และการแก้ไข โลโก้มากกว่า 700 รายการ ด้วยตัวเอง
- ตอนนี้เมื่อมันกลายเป็นส่วนสำคัญของอินเทอร์เน็ตที่บุคคล องค์กร และรัฐบาลจำนวนมากพึ่งพา ปัญหาการพึ่งพา Hunt คนเดียวจึงใหญ่ขึ้น
- เบื้องหลังการพิจารณาขายในปี 2019 ก็มีส่วนหนึ่งมาจาก “โครงสร้างที่พึ่งพา Hunt เพียงคนเดียว”
- ยังมีทางเลือกที่จะจ้างคนและขยายแบบบริษัททั่วไป แต่ Hunt ไม่ได้มองว่าความรับผิดชอบอย่างสัญญาจ้าง การเจรจาเงินเดือน การประเมินผลงาน การลาป่วยและวันลาพักร้อนเป็นเรื่องน่าดึงดูด
-
บทบาทของ Charlotte
- ต้นปี 2021 Charlotte ซึ่งในตอนนั้นกำลังจะเป็นภรรยาของเขา เริ่มทำงานที่ HIBP
- Charlotte เคยเป็นผู้จัดการโปรเจกต์ของงานประชุม NDC ในฐานที่นอร์เวย์เป็นเวลา 8 ปี โดยทำงานกับนักพัฒนาซอฟต์แวร์ วิทยากร ผู้เข้าร่วมงาน สปอนเซอร์ และผู้เข้าร่วมจากบริษัทต่าง ๆ
- แม้ไม่ใช่ผู้รับผิดชอบด้านเทคนิค แต่เธอมีปริญญาด้าน PR และสตาร์ทอัพ และคุ้นเคยกับโลกเทคโนโลยีที่ HIBP อยู่
- Charlotte ดูแลการออนบอร์ดสมาชิกแบบองค์กร ตั๋วซัพพอร์ตสำหรับผู้ใช้ API และสมาชิกโดเมน รวมถึงงานบัญชีและภาษี
-
บทบาทของ Stefán Jökull Sigurðarson
- ต้นปี 2023 Stefán Jökull Sigurðarson เข้าร่วมแบบพาร์ตไทม์ เพื่อรับผิดชอบงานพัฒนาหลายอย่าง เช่น เขียนโค้ด จัดระเบียบ และไมเกรต
- Stefán ติดตามบริการมาตั้งแต่ HIBP เปิดตัว และในต้นปี 2018 เขาพัฒนาหนึ่งในการเชื่อมต่อขนาดใหญ่ยุคแรกของ PwnedPasswords v2 API ที่ EVE
- เขามองว่า HIBP กลายเป็นส่วนหนึ่งของเส้นทางที่นำไปสู่อาชีพการพูดในที่สาธารณะ การมีส่วนร่วมในโอเพนซอร์ส บทบาท MVP และการช่วยให้อินเทอร์เน็ตปลอดภัยขึ้น
- Hunt เห็นว่าสิ่งสำคัญคือ HIBP สำหรับ Stefán ไม่ใช่แค่งาน แต่เป็นความหลงใหล
กรณีข้อมูลรั่วไหลที่น่าจดจำ
- ตลอด 10 ปี มีเหตุละเมิดข้อมูลที่รวมอยู่ใน HIBP จำนวน 731 เหตุการณ์
-
Ashley Madison
- เหตุการณ์ในปี 2015 ส่งผลอย่างมากต่อการใช้งาน HIBP และทิ้งร่องรอยลึกไว้ในการสื่อสารที่ Hunt มีกับผู้เสียหาย
- สิ่งที่สมาชิก Ashley Madison บอกกับ Hunt ยังคงเป็นบทความที่อ่านได้ยาก
-
Collection #1
- ในต้นปี 2019 เหตุการณ์นี้เพิ่มความเครียดให้ Hunt อย่างมาก และมีอิทธิพลลึกซึ้งต่อการตัดสินใจพิจารณาขายบริการ
- ด้วยจำนวน 773 ล้านรายการ นี่เป็นการละเมิดข้อมูลที่ใหญ่ที่สุดใน HIBP จนถึงเวลาที่เขียนบทความย้อนหลัง
-
Rosebutt
- เป็นกรณีที่แสดงให้เห็นว่าแม้เหตุข้อมูลรั่วไหลร้ายแรง บางครั้งก็สร้างช่วงเวลาขบขันได้
-
Shit Express
- เป็นกรณีที่เว็บไซต์สำหรับส่งชิ้นส่วนอุจจาระแบบไม่เปิดเผยตัวตนถูกละเมิด ทำให้ความเป็นนิรนามสั่นคลอน
- ต่อมา Hunt เขียนว่า คำกล่าวอ้างเรื่องความนิรนาม มักทำให้เข้าใจผิดอย่างมาก
ทิศทางต่อจากนี้
- ชีวิตประจำวันของ Hunt คล้ายกับการเริ่มเช้าด้วยการตรวจอีเมลและเหตุการณ์ที่เกิดขึ้นข้ามคืน จากนั้นจึงขยับไปตามงานที่ต้องทำในวันนั้น
- วิธีดำเนินงานแบบนี้เชื่อมโยงกับเหตุผลที่เขาไม่ต้องการให้ HIBP เติบโตเป็นองค์กรที่มีความรับผิดชอบใหญ่ขึ้น
- ในขณะเดียวกัน HIBP ก็กำลังค่อย ๆ เป็นทางการ มากขึ้น
- 3 ปีก่อน Hunt ทำทุกอย่าง 100% ด้วยตัวเอง
- 1 ปีก่อน เขาทำงานด้านเทคนิคทั้งหมดด้วยตัวเอง
- 6 เดือนก่อน ยังไม่มีระบบตั๋วสำหรับซัพพอร์ต
- Hunt อยากให้ HIBP อยู่ได้นานกว่าตัวเขา แต่ไม่อยากให้กระบวนการนั้นกลายเป็นภาระที่ผูกมัดตัวเอง
- เขามองว่าจะยังมีเหตุละเมิดข้อมูลเกิดขึ้นมากขึ้นต่อไป และกล่าวว่าช่วงหลังรู้สึกว่าแรนซัมแวร์เพิ่มขึ้นอย่างรวดเร็ว
- ยังมีคำถามว่าผู้คนที่อยู่ในอีเมล เอกสาร และข้อมูลหลายประเภทที่ถูกเผยแพร่จากแรนซัมแวร์ จะได้รู้หรือไม่ว่าตนถูกเปิดเผย
- การทำดัชนีข้อมูลเหล่านั้นไม่ใช่เรื่องง่ายด้วยหลายเหตุผล แต่เขามองว่ามันดูเหมือนงานที่มีคุณค่ามากขึ้นเรื่อย ๆ
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
Troy Hunt เป็นบุคคลที่มีคุณค่ามากจริง ๆ และถ้าคุณเป็นนักพัฒนาเว็บแอปพลิเคชัน ก็ไม่มีข้ออ้างที่จะไม่ทำ การป้องกัน credential stuffing
วิธีที่ดีที่สุดน่าจะเป็นการยืนยันตัวตนแบบสองขั้นตอน[1] แต่การตรวจเทียบกับฐานข้อมูลรหัสผ่านที่ถูกแฮชของ Hunt ก็เป็นการป้องกันที่ดีพอสมควรโดยไม่เพิ่มภาระให้ผู้ใช้
แม้ไม่มีข้อมูลอ้างอิง แต่ผมคิดว่าบัญชีที่ถูกยึดส่วนใหญ่ท่วมท้นมาจาก credential stuffing หรือการใช้รหัสผ่านซ้ำ พอได้ยินว่าบริษัทใหญ่ ๆ ไม่ทำการตรวจแบบนี้ก็แปลกใจ และการตั้งค่าก็ง่ายมาก น่าจะทำได้ในราวหนึ่งวัน
ถ้าคุณเป็น CTO รุ่นใหม่หรือวิศวกรเว็บแอปช่วงเริ่มต้น วันหนึ่งคุณอาจเจอสายโทรเข้าแบบถล่มตอนตี 1 เว็บไซต์โดนถล่ม ตอนแรกคิดว่าเป็น DDoS แล้วค่อยรู้ว่าทราฟฟิกส่วนใหญ่ไหลไปที่หน้าเข้าสู่ระบบ และขนลุกเมื่อพบว่าบางส่วนเข้าสู่ระบบสำเร็จจริง จากนั้นต้องรับมือทั้งคืนและต้องแจ้งเหตุละเมิดข้อมูลด้วย ซึ่งทรมานมากจริง ๆ
ฐานข้อมูลฟรีของ Troy Hunt น่าจะช่วยลดความเจ็บปวดนั้นได้ ดังนั้นทำไปเถอะ
พนักงานคนหนึ่งโกรธจัดว่าเป็นการละเมิดความเป็นส่วนตัว ผมจำไม่ได้ว่าใครเป็นคนเริ่มดำเนินการทางกฎหมาย แต่ข้อสรุปของเจ้าหน้าที่ FBI และผู้พิพากษาคือ แม้ผู้ดูแลระบบจะมีเจตนาปรับปรุงความปลอดภัย การเข้าถึงแฮชรหัสผ่านที่ตนรับผิดชอบอยู่โดยตัวมันเองก็ถือเป็นการละเมิดความเป็นส่วนตัวในเชิงอาญา
ถ้าเจ้าหน้าที่ FBI คนนั้นไม่ได้แต่งเรื่องขึ้นมา ก่อนตรวจว่ามีแฮชรหัสผ่านของพนักงานอยู่ใน haveibeenpwned หรือไม่ ก็ดูจะรอบคอบกว่าหากให้ ทีมกฎหมายตรวจทาน ก่อน
ตัวอย่างเช่น หากมีการเข้าสู่ระบบล้มเหลว 20 ครั้งจาก IP เดียวกันหรือชื่อผู้ใช้เดียวกันในช่วง 1 นาทีล่าสุด ก็ให้บล็อก IP หรือชื่อผู้ใช้นั้น 15 นาที เกตเวย์ API, K8s ingress ฯลฯ จำนวนมากรองรับได้ง่ายมาก และถึงไม่มีก็สามารถเก็บจำนวนความพยายามเข้าสู่ระบบล่าสุดไว้ในที่อย่าง Redis แล้วเพิ่มโค้ดไม่กี่บรรทัดได้
การตรวจเทียบกับฐานข้อมูล HIBP ก็เป็นตัวเลือกที่ดี แต่สำหรับการหยุดการโจมตีแบบนี้ rate limiting มีประสิทธิภาพกว่ามาก
เช่น แม้ Tumblr จะถูกแฮ็กและรหัสผ่าน
hunter2ของผมรั่วไหล แต่ถ้า Tumblr ใช้ HMAC-MD5 แบบง่ายที่มี salt และเว็บไซต์ของผมใช้ argon2 พร้อม salt คนละค่าแน่นอน ต่อให้เป็นรหัสผ่านเดียวกัน ผลลัพธ์แฮชก็จะต่างกัน ผมเลยไม่เข้าใจว่าสิ่งนี้ช่วยป้องกัน credential stuffing ได้อย่างไรตั้งค่า social OAuth, SSO, อีเมล magic link แล้วโยนให้เป็นปัญหาของคนอื่นดีกว่า
1234ถ้าไม่ใช่เว็บไซต์ที่มุ่งบริการคนกลุ่มเปราะบาง ผมมองว่านั่นเป็นความรับผิดชอบของผู้ใช้ เหมือนคอมเมนต์อื่น ๆ ผู้ใช้แบบนี้น่าจะแก้ข้อผิดพลาดด้วยวิธีง่ายที่สุดอย่าง
1234ชื่อเว็บไซต์ไม่ว่าจะเพิ่มข้อจำกัดอะไรในช่องใส่รหัสผ่าน ผมคิดว่ามันลด entropy และแม้จะเล็กน้อย ก็ลดความปลอดภัยของทุกคนลง
ผมจำได้ว่าเว็บไซต์นี้เคยให้ประสบการณ์ที่ยอดเยี่ยม แต่ตอนนี้รู้สึกเหมือนเป็นช่องทางหาเงินที่ต้องจ่าย ปีละ $169.50 ถึงจะดูบัญชีที่รั่วไหลได้ 100 บัญชี
ผมใช้ที่อยู่อีเมลเฉพาะสำหรับแต่ละเว็บไซต์เพื่อตรวจจับข้อมูลรั่วไหล แต่พอพยายามค้นหาผลลัพธ์ของโดเมนที่เคยยืนยันความเป็นเจ้าของโดเมนไว้แล้ว กลับเจอข้อผิดพลาดว่า “หากต้องการค้นหาโดเมนที่มีบัญชีรั่วไหลเกิน 10 บัญชี จำเป็นต้องมีการสมัครสมาชิกขนาดที่เพียงพอ”
แย่กว่านั้นคือ Troy ยังนับรวมชุดข้อมูลสาธารณะเป็น ‘การรั่วไหล’ เพื่อปั่นโควตาจำนวนบัญชีให้สูงขึ้นแบบเทียม ๆ ด้วย เช่น ตอนที่ชุดข้อมูลรายชื่อติดต่อสาธารณะที่ scrape จาก GitHub รั่ว ก็ถูกนับเป็นการรั่วไหล ทั้งที่อีเมลของผมตั้งใจเปิดเผยต่อสาธารณะอยู่แล้ว
ถ้าเป็นบริการต้นทุนต่ำแบบนี้ ผมยินดีจ่ายปีละ 5–12 ดอลลาร์ แต่ราคาปัจจุบันเกินเหตุไปมาก
ข้อเสียคือคุณต้องดูแลฐานข้อมูลเองและอัปเดตบ่อย ๆ ผมเห็นบริการหาเงินแบบนี้เกิดขึ้นไม่น้อย โดยเก็บเงินขายการเข้าถึงฐานข้อมูลผ่าน API
จะมอง use case ที่เฉพาะเจาะจงมากแบบนั้นว่าเป็น วัวเงินสด ของ Troy Hunt ก็ดูฝืนไป
ผมไม่จำได้ว่าเคยเห็นการแจ้งเตือนเกี่ยวกับการเปลี่ยนแปลงนี้
ตอนแรกเริ่มจากบริการที่ดี แต่พอการใช้งานเพิ่มขึ้น ก็เอาฟีเจอร์ไปไว้หลัง กำแพงจ่ายเงิน และลดระดับบริการฟรีลงจนแทบไร้ประโยชน์ เป็นโมเดล freemium ที่แย่มาก Facebook ถึงจะแย่ แต่ก็ไม่ได้ไปไกลถึงขั้นนี้ และ “Facebook ฟรี” ก็แค่ถูกติดตามมากขึ้น แต่ฟังก์ชันยังคงอยู่เทียบเท่าปี 2010
การที่มีโดเมนดัดแปลงอย่าง
haveibeenburned.com,haveigotpwned.com,haveibeenrekt.comและhaveibeenfucked.comที่มีคนเสนอหลังจากรู้ว่า PornHub ติดตามอยู่ด้วยนั้น ค่อนข้างตลกในฐานะ ผลข้างเคียงของการโด่งดังในสื่อแทนอาจเป็นไปได้ที่จะสร้างฐานข้อมูล แฮชการจดจำใบหน้า ของ revenge porn แล้วอัปโหลดแฮชที่คล้ายใบหน้าตัวเองเพื่อตรวจดูว่ามีอยู่ที่ไหนสักแห่งบนออนไลน์หรือไม่
เป็นระดับความเขินอายที่ผมไม่เคยนึกถึงมาก่อนเลย
ผมชอบบทความให้ความรู้ของ Hunt มาก
จำได้ว่าเคยอ่านวิธีใช้ k-anonymity เพื่อเทียบไฟล์ pwned กับรหัสผ่านโดยไม่ต้องส่งข้อมูลส่วนบุคคลจริง ๆ และนั่นทำให้ผมไปศึกษาคอนเซปต์นี้ แล้วนำไปใช้ในโปรเจกต์งานด้วย
บางครั้งก็คิดว่าถ้าไม่ได้อ่านบทความเหล่านั้นเกี่ยวกับการตรวจสอบโดยไม่ส่งข้อมูลส่วนบุคคลจริง ๆ ผมจะทำอย่างไร
อยากกล่าวถึง Junade Ali ด้วย ซึ่ง Troy ระบุว่าเป็นผู้เสนอแนวคิดนี้[1] เขาอธิบายละเอียดขึ้นในบทความที่เกี่ยวข้อง[2]
ไม่ได้หมายความว่า Junade เป็นผู้คิดค้น เพราะดูเหมือนต้นกำเนิดจะเป็นของ Pierangela Samarati, Latanya Sweeney และ Tore Dalenius[3] แต่บทความบล็อกของเขาอธิบายได้ดีมากโดยเชื่อมกับแนวคิดที่นักพัฒนาซอฟต์แวร์คุ้นเคย
[1] https://www.troyhunt.com/ive-just-launched-pwned-passwords-v...
[2] https://blog.cloudflare.com/validating-leaked-passwords-with...
[3] https://en.wikipedia.org/wiki/K-anonymity
พวกมิจฉาชีพขู่กรรโชกกำลังใช้ฐานข้อมูลรหัสผ่านที่ถูก pwned เพื่อสร้าง อีเมลฟิชชิง ที่ดูน่าเชื่อถือพอสมควร
ประมาณว่า “ฉันติดตั้งเครื่องมือเข้าถึงระยะไกลไว้ในระบบของคุณแล้ว และแอบดูคุณผ่านเว็บแคม หลักฐานการแฮ็กคือรหัสผ่านนี้ ส่ง BTC มูลค่า 1,800 ดอลลาร์มาที่แอดเดรสนี้ และอย่าไปแจ้งตำรวจ คราวหน้าก็ใช้ password manager ซะ” ผมสงสัยว่ามีคนหลงกลแบบนี้จริงไหม
ส่วนใหญ่น่าจะถูกตัวกรองสแปมบล็อกไว้ และผมเห็นเฉพาะตอนที่มันผ่านตัวกรอง SPF/DKIM มาได้ จึงเอาไปฝึกเพิ่ม ดูค่อนข้างฉลาดทีเดียว
ตัวบริการเองผมขอบคุณมาก และก็ชอบอ่านบทความของ Troy Hunt ด้วย HIBP ยอดเยี่ยมมาก
ในนั้นไม่ได้มีแค่รหัสผ่านเก่า แต่มี ที่อยู่ไปรษณีย์เต็มรูปแบบและเลข 4 หลักท้ายของบัตรเครดิต ด้วย และมีคนที่เชื่อจริง ๆ
ฟีเจอร์นี้เพียงอย่างเดียวไม่สามารถทำให้การโจมตีแบบนั้นเกิดขึ้นได้
ผมเองก็เคยได้รับอีเมลแบบนี้หนึ่งหรือสองครั้ง แต่เดาไม่ออกเลยว่าเคยใช้รหัสผ่านที่ค่อนข้างอ่อนนั้นกับเว็บไซต์ไหน
ค้นหาอย่างรวดเร็วแล้วพบว่าเป็นรหัสผ่านที่ไม่ได้ใช้กับที่ที่ผมให้ความสำคัญ จึงปล่อยผ่านไป แต่ถึงจะรู้ว่าเป็นรหัสผ่านเก่า ก็ยังรู้สึกค้างคาอยู่ดี
ถ้าไม่ได้ใช้ password manager ผมคงตรวจได้ทันทีไม่ได้ว่ารหัสผ่านนั้นใช้ที่ไหน และต้องเค้นความทรงจำแทน ซึ่งจินตนาการความรู้สึกนั้นได้ยาก
ผลกระทบของ HaveIBeenPwned ต่อการรับรู้ของผู้ใช้นั้นน่าจับตา
ในทางกลับกัน SpyCloud มี ชุดข้อมูลที่ใหญ่กว่า 30 เท่า และทำงานโดยตรงกับองค์กรต่าง ๆ เพื่อบรรเทาปัญหาการใช้รหัสผ่านซ้ำจริง ๆ แต่รู้สึกว่าไม่ได้รับการยอมรับมากพอ
ถ้าเคยถูกขอให้รีเซ็ตรหัสผ่านตอนล็อกอินเข้าเว็บไซต์ใหญ่ ๆ หรือเคยได้รับอีเมลให้เปลี่ยนรหัสผ่านเพราะเป็นรหัสที่ใช้หลายที่ ก็มีความเป็นไปได้สูงว่า SpyCloud อยู่เบื้องหลัง
ความจริงคือทำอยู่ ตัวอย่างเช่นความร่วมมือกับ 1Password และ password manager อื่น ๆ, Firefox, FBI รวมถึงรัฐบาลสหราชอาณาจักรและออสเตรเลีย
อย่างหลังแทบไม่มีประโยชน์เลยสำหรับคนส่วนใหญ่
สำหรับคนที่ใส่ใจความเป็นส่วนตัว วิธีลบข้อมูลของตนออกจากการค้นหาสาธารณะอยู่ที่นี่
https://haveibeenpwned.com/OptOut
คนที่ต้องการใช้อีเมลไปทำเรื่องไม่ดีมีแนวโน้มจะดาวน์โหลดรายการต้นฉบับทั้งหมดมากกว่าจะไปขูดเว็บรวมข้อมูล
อ้างอิงไว้ว่ามีข้อความว่า “ผู้ดูแลโดเมนของที่อยู่อีเมลของคุณยังคงเห็นคุณได้ในการค้นหาโดเมน”
ตลอด 10 ปีที่ผ่านมา สงสัยว่ามีเหยื่อการสะกดรอยตามกี่คนที่ได้รู้ว่าผู้กระทำใช้ HaveIBeenPwned เป็นเครื่องมือแนะนำง่าย ๆ ในการค้นหาและละเมิดบัญชีกับความเป็นส่วนตัวของพวกเขา
แน่นอนว่าจุดยืนของไซต์คือ เหยื่อต้องสมัครไว้ล่วงหน้าและปิดการแสดงผลในการค้นหาก่อนที่ผู้ไม่หวังดีจะมาใช้บริการ
เท่ากับว่าการทำให้ผู้ใช้คนอื่นตกใจทันทีที่กรอกที่อยู่อีเมลว่า “ข้อมูลของคุณหลุดอยู่ข้างนอก!” สำคัญกว่าความปลอดภัยของผู้ใช้ มากกว่าการแสดงผลหลังยืนยันอีเมล
ถ้ามีที่อยู่อีเมลของใครสักคนอยู่แล้ว จำเป็นต้องใช้ HIBP จริง ๆ ไหมเพื่อหาว่าที่อยู่นั้นถูกใช้ที่ไหนบ้าง? แค่ Google ก็ได้ผลลัพธ์ออกมาเยอะแล้วไม่ใช่หรือ?
อยากเห็น แฮช เพื่อให้รู้ได้ว่ารหัสผ่านไหนถูกละเมิด
“ขี่เจ็ตสกีแล้วทำอะไรก็ได้ที่อยากทำ” นี่ Troy Hunt เป็น Mobius variant หรือเปล่า?
สงสัยว่าเขาเคยเขียนรายละเอียดเรื่องการหย่าไว้เยอะไหม
ควรมองว่ามันยืดเยื้อและแพงเพราะกระบวนการแบ่งทรัพย์สิน 50% และตกลงว่าใครเป็นเจ้าของอะไรใช่ไหม?