ประวัติ 10 ปีของ "Have I Been Pwned"

 (troyhunt.com)
1 คะแนน โดย GN⁺ 2023-12-05 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

หนึ่งทศวรรษของ Have I Been Pwned

  • Have I Been Pwned เป็นบริการที่ช่วยให้ตรวจสอบได้ว่าอีเมลของผู้ใช้ถูกรวมอยู่ในการรั่วไหลของข้อมูลเมื่อเกิดเหตุข้อมูลรั่วไหลหรือไม่
  • บริการนี้ได้ให้ข้อมูลเกี่ยวกับการรั่วไหลของข้อมูลแก่ผู้ใช้มาตลอด 10 ปี และมีส่วนช่วยด้านความปลอดภัยบนอินเทอร์เน็ต
  • ผู้ใช้สามารถป้อนที่อยู่อีเมลเพื่อตรวจสอบได้ว่ามีเหตุการณ์ข้อมูลส่วนบุคคลของตนรั่วไหลหรือไม่

ความเห็นของ GN⁺

  • บริการ Have I Been Pwned มีบทบาทสำคัญต่อการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยไซเบอร์
  • บริการนี้ช่วยให้ผู้ใช้ตรวจสอบได้ง่ายว่าข้อมูลของตนกำลังเผชิญความเสี่ยงหรือไม่ จึงมีส่วนช่วยยกระดับความตระหนักด้านความปลอดภัย
  • การให้บริการอย่างต่อเนื่องยาวนานถึง 10 ปีเป็นสิ่งที่น่าสนใจอย่างยิ่ง และสะท้อนถึงความพยายามและวิวัฒนาการอย่างต่อเนื่องในแวดวงความมั่นคงปลอดภัยไซเบอร์

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-12-05
ความคิดเห็นจาก Hacker News

  • Troy Hunt เป็นบุคคลสำคัญอย่างมากสำหรับนักพัฒนาเว็บแอปพลิเคชัน มาตรการป้องกัน credential stuffing เป็นสิ่งจำเป็น และแม้ว่า two-factor authentication จะเป็นแนวป้องกันที่ดีที่สุด การตรวจสอบฐานข้อมูลรหัสผ่านแบบแฮชของ Hunt ก็มีประสิทธิภาพมากเช่นกันโดยไม่ต้องให้ผู้ใช้ทำอะไรเพิ่ม

  • คาดว่าการถูกเจาะบัญชีส่วนใหญ่มีสาเหตุมาจาก credential stuffing หรือการใช้รหัสผ่านซ้ำ จึงน่าแปลกใจที่บริษัทใหญ่ ๆ ไม่ทำการตรวจสอบแบบนี้ การตั้งค่าก็ง่ายและใช้เวลาเพียงวันเดียว

  • หากคุณเป็นวิศวกรหรือ CTO ระยะเริ่มต้นที่กำลังพัฒนาเว็บแอป คุณอาจยังไม่เคยเจอกับการโจมตีแบบ credential stuffing แต่สักวันหนึ่งจะต้องเจอแน่นอน เมื่อถูกโจมตีแล้วก็จะต้องรับมือทั้งคืน ทำการแจ้งเหตุข้อมูลรั่วไหล และเผชิญความลำบากอีกมาก

  • การใช้ฐานข้อมูลฟรีของ Troy Hunt สามารถป้องกันปัญหาเหล่านี้ได้ ขอแนะนำให้ใช้

  • มีการตั้งข้อสังเกตว่า Troy Hunt เคยพูดถึงการหย่าร้างอย่างเจาะจงหรือไม่ และคาดว่าน่าจะยืดเยื้อและมีค่าใช้จ่ายสูงจากการแบ่งทรัพย์สินและการตัดสินเรื่องกรรมสิทธิ์

  • รู้สึกว่าเว็บไซต์เคยมอบประสบการณ์ที่ยอดเยี่ยม แต่ตอนนี้กลายเป็นช่องทางหารายได้ไปแล้ว เช่น ต้องจ่าย $169.50 ต่อปีเพื่อดูบัญชีที่ถูกละเมิด 100 บัญชี

  • มีการใช้อีเมลไม่ซ้ำกันสำหรับแต่ละเว็บไซต์เพื่อใช้ตรวจจับข้อมูลรั่วไหล แต่เมื่อพยายามค้นหาผลลัพธ์ระดับโดเมนกลับพบข้อผิดพลาดว่าต้องสมัครสมาชิก

  • วิจารณ์ว่า Troy Hunt นำการรวบรวมข้อมูลสาธารณะมาใส่เป็น "การรั่วไหล" ทำให้จำนวนบัญชีที่ถูกละเมิดดูสูงเกินจริง และมองว่าค่าใช้จ่ายราว $5-12 ต่อปีจึงจะสมเหตุสมผล

  • มองว่าการเกิดขึ้นของชื่อโดเมนหลากหลายแบบที่คล้าย haveibeenpwned.com เป็นผลข้างเคียงที่น่าสนใจจากชื่อเสียงในสื่อ

  • คิดว่าบทความของ Troy Hunt ให้ข้อมูลอย่างมาก มีการเล่าประสบการณ์ว่าได้อ่านเรื่องการใช้ k-anonymity เพื่อตรวจสอบไฟล์ pwned โดยไม่ต้องส่งรหัสผ่าน แล้วนำไปศึกษาและประยุกต์ใช้ในโปรเจกต์ระดับมืออาชีพ

  • แฮ็กเกอร์กำลังใช้ฐานข้อมูลรหัสผ่าน pwned เพื่อสร้างอีเมลฟิชชิงที่ดูน่าเชื่อถือ จึงสงสัยว่ามีคนหลงเชื่อกลโกงแบบนี้หรือไม่ ส่วนใหญ่จะติดสแปมฟิลเตอร์ แต่บางครั้งก็เล็ดรอดมาได้ มีการขอบคุณบริการ HIBP และบทความของ Troy Hunt

  • เน้นย้ำถึงผลกระทบที่ HaveIBeenPwned มีต่อการรับรู้ของผู้ใช้

  • รู้สึกว่า SpyCloud มีชุดข้อมูลที่ใหญ่กว่าและทำงานร่วมกับองค์กรต่าง ๆ โดยตรงเพื่อช่วยบรรเทาการนำ credential มาใช้ซ้ำจริง ๆ แต่กลับไม่ได้รับการยอมรับมากพอ

  • คิดถึงความเป็นไปได้ที่ตลอด 10 ปีที่ผ่านมา เหยื่อการสะกดรอยตามอาจใช้ HaveIBeenPwned เพื่อตรวจสอบว่าบัญชีและความเป็นส่วนตัวของตนถูกละเมิดหรือไม่

  • เว็บไซต์ยังคงยืนกรานในจุดยืนที่ว่าผู้ใช้ต้องสมัครและซ่อนข้อมูลของตนจากผลการค้นหาก่อนที่ผู้ไม่หวังดีจะมาใช้บริการนี้

  • มีการแบ่งปันวิธีลบข้อมูลของตนออกจากการค้นหาแบบสาธารณะใน HaveIBeenPwned สำหรับผู้ที่ให้ความสำคัญกับความเป็นส่วนตัว

  • มีการกล่าวถึง Troy Hunt ที่ขี่เจ็ตสกีและเพลิดเพลินกับอิสรภาพ