Have I Been Pwned 2.0

 (troyhunt.com)
2 คะแนน โดย GN⁺ 2025-05-20 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • บริการตรวจสอบข้อมูลรั่วไหล Have I Been Pwned ได้รับการปรับโฉมใหม่ทั้งหมด
  • พร้อมดีไซน์ใหม่ ฟังก์ชันของหน้าเว็บหลัก ได้ถูกเปลี่ยนแปลงและปรับปรุงครั้งใหญ่
  • ฟังก์ชัน ค้นหา ใช้งานได้เข้าใจง่ายขึ้น พร้อมเสริมวิธีตรวจสอบบัญชีและคำแนะนำเกี่ยวกับกรณีข้อมูลรั่วไหลต่าง ๆ
  • มีการเพิ่มฟีเจอร์ ใหม่และที่ปรับปรุงแล้ว หลากหลาย เช่น แดชบอร์ดผู้ใช้ การค้นหาโดเมน และเอกสาร API
  • ประสิทธิภาพและความปลอดภัยของเว็บถูกสร้างบน โครงสร้างพื้นฐานคลาวด์สมัยใหม่ เพื่อมอบประสบการณ์ที่รวดเร็วและปลอดภัยแก่ผู้ใช้

บทนำและที่มา

  • Have I Been Pwned (ต่อไปนี้เรียกว่า HIBP) 2.0 เปิดตัวใหม่ทั้งหมดหลังการพัฒนาที่ยาวนาน
  • เริ่มคอมมิตแรกในเดือนกุมภาพันธ์ 2023 และผ่านกระบวนการ soft launch กับการโอเพนซอร์สในเดือนมีนาคม 2024 ก่อนเปิดเป็นเว็บไซต์ที่สร้างใหม่ทั้งระบบพร้อมอัตลักษณ์แบรนด์ใหม่
  • โครงสร้างและฟังก์ชันของทั้งเว็บไซต์ถูกยกเครื่องใหม่ และยังเปิดร้านขายสินค้าของแบรนด์เพิ่มเติมด้วย

ฟังก์ชันค้นหา

  • ช่องค้นหาหลักบนหน้าแรกซึ่งเป็นฟีเจอร์เด่นของ HIBP ได้รับการปรับปรุงให้ใช้งานง่ายขึ้น พร้อมลูกเล่นใหม่สดขึ้น (แอนิเมชันคอนเฟตตี)
  • เพื่อไม่ให้ประสบการณ์ใช้งานสร้างความอึดอัด จึงหลีกเลี่ยงบรรยากาศที่หนักและเป็นลบ และมุ่งเน้นการให้ ข้อมูลเชิงข้อเท็จจริงที่นำไปใช้ได้จริง แก่ผู้ใช้
  • การค้นหาชื่อผู้ใช้และหมายเลขโทรศัพท์ถูกนำออกจากเว็บไซต์แล้ว (แต่ใน API ยังคงรูปแบบเดิมไว้)
    • การค้นหาด้วยที่อยู่อีเมลเหมาะสมกว่าในแง่ของการพาร์ส การแจ้งเตือน และความสอดคล้องของบริการ
    • หมายเลขโทรศัพท์และชื่อผู้ใช้มีภาระในการประมวลผลสูง และแทบไม่มีการใช้งานจริง จึงตัดออกเพื่อลดความสับสน

หน้ารายละเอียดกรณีข้อมูลรั่วไหล

  • ทุกกรณีข้อมูลรั่วไหลจะมี หน้ารายละเอียดเฉพาะ ให้ใช้งานใหม่
  • เลย์เอาต์ใหม่ดูเข้าใจง่ายและน่าอ่านยิ่งกว่าเดิม พร้อมอธิบายสถานการณ์ผลกระทบ วิธีรับมือ และคำแนะนำเฉพาะที่ลงมือทำได้จริง
  • มีแผนเพิ่มข้อมูลเฉพาะตามภูมิภาคผ่านความร่วมมือกับหน่วยงานอื่น ๆ (เช่น NCSC)
  • ต่อไปจะมีการเพิ่มรายละเอียดอย่างการรองรับ 2FA, passkey และคู่มือเฉพาะสำหรับผู้ใช้

แดชบอร์ด

  • ฟังก์ชันเดิมหลายอย่าง (ตรวจสอบข้อมูลรั่วไหลแบบละเอียดอ่อน จัดการโดเมน จัดการการสมัครใช้งาน ฯลฯ) ถูกรวมไว้ใน แดชบอร์ดแบบรวมศูนย์
  • แดชบอร์ดเข้าถึงได้ผ่านการยืนยันอีเมล และในอนาคตมีแผนเพิ่มวิธีการยืนยันแบบใหม่ เช่น passkey
  • เปิดทางให้พัฒนาเป็นแพลตฟอร์มที่ขยายต่อได้ในอนาคต เช่น การแจ้งเตือนสำหรับบัญชีครอบครัว

ฟังก์ชันค้นหาโดเมน

  • ฟังก์ชัน ยืนยัน/ค้นหาโดเมน ถูกออกแบบใหม่ทั้งหมด พร้อม UI ที่สะอาดขึ้นและรองรับตัวกรองหลายแบบ (เช่น ดูเฉพาะข้อมูลรั่วไหลล่าสุด)
  • ใช้โครงสร้างแบบ single-page app (SPA) เต็มรูปแบบ และผลการค้นหาถูกส่งอย่างรวดเร็วในรูปแบบ JSON ผ่าน API
  • กระบวนการยืนยันความเป็นเจ้าของโดเมนก็ถูกทำให้ง่ายขึ้นใหม่
  • วิธีการยืนยันตัวตนนอกเหนือจากอีเมลจะมีการปรับปรุงแยกต่างหากในภายหลัง

API

  • ในการอัปเดตครั้งนี้ ไม่มีการเปลี่ยนแปลงหรือยุติการใช้งาน API แต่อย่างใด
  • เอกสาร API กำลังเตรียมนำเครื่องมือ Scalar ที่อิง OpenAPI มาใช้ แต่ตอนนี้ยังคงเอกสารเดิมไว้พร้อมปรับให้เป็นสไตล์ใหม่ที่สอดคล้องกัน
  • ในอนาคตจะเปลี่ยนไปใช้เอกสารสมัยใหม่ที่อิง Scalar

สินค้าแบรนด์และสติกเกอร์

  • ร้านสินค้าทางการของ HIBP เปิดอย่างเป็นทางการแล้ว เริ่มจำหน่ายสินค้าอย่างเสื้อยืด (อิง Teespring และไม่มีการบวกกำไร)
  • สติกเกอร์ยังคงดำเนินการผ่านร้าน Sticker Mule ต่อไป และงานอาร์ตเวิร์กเป็นโอเพนซอร์สที่นำไปใช้ได้อย่างอิสระ

เทคโนโลยีและโครงสร้างพื้นฐาน

  • แบ็กเอนด์ของเว็บไซต์ใช้ Microsoft Azure เป็นฐาน โดยใช้ App Service, Functions, Hyperscale SQL, Storage และอื่น ๆ
  • เว็บแอปหลักเขียนด้วย C# และ .NET 9.0 รวมถึง ASP.NET MVC (.NET Core)
  • Cloudflare ถูกนำมาใช้อย่างมีประโยชน์สำหรับ WAF, caching, Turnstile (anti-bot), R2 storage และอื่น ๆ
  • ฝั่งฟรอนต์เอนด์ใช้ Bootstrap รุ่นใหม่ล่าสุด, SASS และ TypeScript เพื่อสร้างอินเทอร์เฟซที่ทันสมัย
  • ด้วยการมีส่วนร่วมของสมาชิกหลักอย่าง Ingiber นักพัฒนาจากไอซ์แลนด์ ทำให้ได้งานที่สมบูรณ์สูงและ UI ที่สวยงาม
  • ลดขนาดหน้าเว็บและจำนวนคำขอได้ราว 28% และ 31% ตามลำดับ ทำให้การปรับแต่งมีประสิทธิภาพกว่าช่วง 11 ปีก่อน
  • ตัดองค์ประกอบที่ไม่จำเป็นอย่างการติดตามและข้อมูลโฆษณาออกทั้งหมด โดยให้ความสำคัญกับความเป็นส่วนตัวของผู้ใช้

การใช้ AI

  • ในกระบวนการสร้างเว็บไซต์ใหม่นี้ มีการใช้ Chat GPT อย่างจริงจังเพื่อช่วยแก้ปัญหาด้านการพัฒนาในหลายเรื่อง เช่น CSS การแนะนำไอคอน การตั้งค่า Cloudflare และจุดเฉพาะของ .NET Core
  • ด้วยข้อเสนอแนะที่รวดเร็วและการทำโค้ดอัตโนมัติจาก AI ทำให้สัมผัสได้ถึง การเพิ่มขึ้นของประสิทธิภาพการทำงานอย่างมาก
  • ยังยืนยันได้ถึงความแม่นยำและประโยชน์สูงสำหรับงานอย่างการย้ายระบบอย่างรวดเร็วและการทำงานอัตโนมัติ

เส้นทางการพัฒนาและบทสรุป

  • งานเบื้องหลังที่มองไม่เห็นอย่างการอัปเดตเอกสารทางกฎหมาย ใช้เวลานานและมีค่าใช้จ่ายมาก
  • ก่อนและหลังการเปิดตัว มีการแก้ไขฉุกเฉินหลายครั้งและปล่อยรีลีสซ้ำเพื่อแก้ปัญหาอย่างรวดเร็ว
  • การเริ่มต้นใหม่เสร็จสมบูรณ์โดยยังคงรักษาความเชี่ยวชาญ การขยายตัวได้ และความลื่นไหลของบริการไว้
  • HIBP คือผลงานจากความทุ่มเทมาตั้งแต่ปี 2013 ตลอดหนึ่งในสี่ของชีวิต และคาดว่าเวอร์ชัน 2.0 จะเป็นอีกก้าวกระโดดใหม่ในฐานะบริการเพื่อชุมชน

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-05-20
ความคิดเห็นบน Hacker News
  • มีการจินตนาการว่า ถ้าจับมือกับสำนักงานกฎหมายแล้วผลักดันคดีแบบกลุ่มสำหรับเหตุข้อมูลรั่วไหลทุกกรณีที่เกิดจากความประมาทได้จริง ๆ (ซึ่งแทบจะเป็นแทบทุกกรณี) จากนั้นเชื่อมกับบริการธนาคารสำหรับจ่ายเงิน เพื่อโอนเงินชดเชยตรงถึงผู้คนนับล้านเมื่อมีการยอมความ ก็อาจกลายเป็นวีรบุรุษยุคใหม่ได้ เน้นย้ำความสำคัญของการร่วมมือกับทนายที่สามารถทำให้บริษัทที่มีความผิดต้องเจอกับคำตัดสินที่เจ็บปวดจริง ๆ พร้อมเตือนว่าการยอมความวงเงินเล็กน้อยอาจยิ่งทำให้ผู้บริหารที่ไร้ความรับผิดชอบดำเนินพฤติกรรมเดิมต่อไปได้ อีกทั้งยังกล่าวถึงความเป็นไปได้ที่จะขายข้อมูลคดีที่กำลังจะฟ้องให้นักลงทุนแบบเลือกได้ และหวังว่าในท้ายที่สุดจะเกิดบรรยากาศทางสังคมที่เพียงแค่มีข่าวข้อมูลรั่วไหล หุ้นของบริษัทนั้นก็ควรถูกกระทบทันที
    • มีคนบอกว่า ถ้าทุกครั้งที่มีเงินชดเชยแล้วสามารถบริจาคเงินจำนวนน้อยให้ที่ดี ๆ ได้ทันที ก็น่าจะทำให้อยากเข้าร่วมคดีแบบกลุ่มมากขึ้น
    • มีการแซวอย่างกังวลเกี่ยวกับบริการธนาคารดังกล่าวว่า ข้อมูลที่เก็บไว้ในระบบแบบนั้นเองจะใช้เวลาอีกนานแค่ไหนกว่าจะรั่วอีก
    • มีความกังวลว่าระบบแบบนี้อาจให้ผลย้อนกลับ เพราะทุกวันนี้แค่การเปิดเผยว่าบริษัทมีข้อมูลรั่วไหลก็ทำได้ยากอยู่แล้ว โครงสร้างแบบนี้จะยิ่งเพิ่มความเสี่ยงและทำให้หลีกเลี่ยงการเปิดเผยมากขึ้น โดยมองว่าการรู้ว่าข้อมูลของตัวเองรั่วแล้วจะได้รีบเปลี่ยนรหัสผ่านยังดีกว่า
    • มีคนบ่นว่ายังรอวันที่จะได้รับการชดเชยจาก Blue Shield กรณีที่ข้อมูลส่วนตัวของตนถูกขายให้ Google อยู่ พร้อมบอกว่ายินดีใช้บริการนี้
  • มีคนประหลาดใจที่แม้เพิ่งผ่านมาไม่ถึง 10 ปี เว็บไซต์ขนาดใหญ่อย่าง LinkedIn ยังเคยเก็บรหัสผ่านแบบไม่ใส่ salt และตั้งคำถามว่ายุคนี้ยังพลาดแบบนั้นได้อย่างไร
    • มีคำอธิบายว่าความผิดพลาดแบบนี้อาจเกิดขึ้นได้ง่ายกว่าที่คิดโดยไม่ได้ตั้งใจ เพราะในมุมของมิดเดิลแวร์ ฟิลด์ password ในข้อมูล JSON อาจถูกมองเป็นแค่ฟิลด์หนึ่งเท่านั้น และถ้า API หรือระบบบันทึกล็อกเก็บ request body ทั้งหมดไว้ ก็มีโอกาสเกิดปัญหาจริง แม้จะไม่ค่อยมีใครเก็บรหัสผ่านแบบไม่ใส่ salt ลงในที่เก็บรหัสผ่านโดยตรง แต่ยกตัวอย่างว่า หาก API gateway ของแอป Android พลาดไม่ระบุว่า flow อย่าง “ลืมรหัสผ่าน” เป็นข้อมูลอ่อนไหว ปัญหาคล้ายกันก็เกิดได้ พร้อมแชร์ว่าเคยเจอมากับตัว
    • มีความเห็นเชิงล้อเล่นว่าที่เกิดเรื่องแบบนี้เพราะตอนสัมภาษณ์วิศวกรยังไม่ถาม Leetcode Hard มากพอ
    • มีคนชี้ว่าเราพูดกันเรื่อง AI Slop กันมาก แต่ปัญหา Outsourced Slop หรือคุณภาพงานจากการจ้างภายนอกก็รุนแรงมานานแล้ว พร้อมตั้งข้อสังเกตจากประสบการณ์ว่าในกรณีของ LinkedIn ก็มีโอกาสสูงที่ผลงานจากโปรแกรมเมอร์เอาต์ซอร์สจะเป็นสาเหตุหลัก และยืนยันว่าต้องมีผู้จัดการที่เก่งและเข้มแข็งคอยตั้งมาตรฐานคุณภาพและตรวจสอบ จึงจะหลีกเลี่ยงผลิตภัณฑ์ที่ภายนอกดูดีแต่ภายในกลวงโบ๋ได้
    • มีความเห็นว่าความผิดพลาดเช่นนี้อาจมาจากระบบเก่าอย่าง legacy mainframe ที่สร้างไว้ในอดีตแล้วไม่มีใครมีเวลาและงบประมาณพอจะดูแลหรือย้ายระบบ ทำให้ถูกปล่อยทิ้งไว้ ยิ่งเป็นบริษัทใหญ่ ความแข็งตัวของระบบสำคัญยิ่งรุนแรงจนแค่หยุดระบบประมาณ 1 ชั่วโมงก็ถูกมองว่าเป็น “ความเสียหาย” หลายล้านวอน ส่งผลให้ยิ่งซ่อมบำรุงไม่ได้ กลายเป็นปัญหาเชิงโครงสร้าง
  • มีคนมองว่าการที่คนทั่วไปจำนวนมากใช้ Have I Been Pwned เป็นประจำ และถูกพาไปใช้ 1Password ด้วยนั้นเป็นทางเลือกที่ดีที่สุดจริง ๆ โดยโปรโมชันร่วมกับ 1Password ถือว่าเข้ากันได้ดีมาก พร้อมเสนอว่าข้อความบนแบนเนอร์ควรเปลี่ยนให้เด่นขึ้นเป็นแนว “แนะนำอย่างยิ่ง” เพราะความเสียหายจากการแฮ็กบัญชีโซเชียลส่วนใหญ่เกิดจากการใช้รหัสผ่านซ้ำ และจากประสบการณ์ที่ช่วยแก้ปัญหาจริงมากกว่า 20 เคสในช่วง 1 ปีที่ผ่านมา การให้ความรู้เรื่องการใช้รหัสผ่านที่ปลอดภัยและพาไปใช้ password manager เป็นเรื่องที่ดีมาก พร้อมแสดงความยินดีกับการปรับโฉม
  • มีคนชื่นชมฟีเจอร์ที่แสดงประวัติข้อมูลรั่วไหลทั้งหมดแบบเลื่อนแนวตั้ง พร้อมโลโก้และข้อความแนะนำของแต่ละรายการ ว่าทั้งน่ากลัวและน่าทึ่ง
    • มีคนพูดอย่างหมดแรงว่าเวลามองข้อมูลรั่วไหลแล้วรู้สึกทำอะไรไม่ค่อยได้ นอกจากการ freeze เครดิต
  • มีคนสงสัยว่าใครคือเจ้าของสถิติข้อมูลรั่วไหลสูงสุด โดยแชร์ว่าตนอีเมลหลักของตัวเองไปโผล่ในข้อมูลรั่วไหลแล้ว 40 ครั้ง ครั้งที่เก่าที่สุดคือเดือนมิถุนายน 2011 (HackForums, จำไม่ได้เลย) และล่าสุดคือกันยายน 2024 (FrenchCitizens, ไม่เกี่ยวอะไรกับฝรั่งเศสเลย)
    • มีอีกคนตอบว่ามีคนทำลายสถิตินั้นไปแล้วด้วยส่วนต่าง 1 ครั้ง
    • มีการแชร์สถิติชวนตกใจว่าอีเมล john@yahoo.com ปรากฏในข้อมูลรั่วไหลมากถึง 322 ครั้ง
  • มีคนแนะนำทิปว่า ถ้าอยากได้ความเป็นส่วนตัวมากขึ้น บริการนี้มีฟังก์ชัน opt-out สำหรับซ่อนผลการค้นหาอีเมลของตัวเอง
  • มีคนบอกว่าเพราะใช้หลายอีเมล alias จึงค้นทีละอันไม่ไหว และอยากได้ฟังก์ชันค้นทีเดียวทั้งโดเมน
    • มีคำแนะนำว่าในหัวข้อ "The Domain Search Feature" สามารถยืนยันความเป็นเจ้าของโดเมนแล้วดูผลทั้งหมดได้ในครั้งเดียว
  • มีคนบอกว่าเป็นเว็บไซต์ที่ยอดเยี่ยมจริง ๆ และหวังว่ารัฐบาลจะจริงจังกับปัญหานี้มากขึ้น เพราะการขโมยตัวตน การยึดบัญชี และปัญหาอื่น ๆ ล้วนเริ่มต้นจากข้อมูลรั่วไหล และทุกวันนี้การที่บัญชีดิจิทัลถูกเจาะถือเป็นภัยพิบัติที่ร้ายแรงกว่าการมีขโมยบุกบ้านจริงเสียอีก ในกรณีการบุกรุกทางกายภาพยังมี 911 และกระบวนการติดตามที่ชัดเจน แต่การถูกละเมิดทางดิจิทัลกลับไม่มีแม้แต่จุดติดต่อหรือกระบวนการแก้ปัญหาที่เป็นรูปเป็นร่าง พร้อมเรียกร้องให้การตอบสนองของสังคมเปลี่ยนไป
  • มีคนประเมินดีไซน์ใหม่ในแง่บวกมาก และบอกว่าการตามอัปเดตของ Troy ก็สนุกดี แม้บางครั้งจะให้ความรู้สึกคล้ายอารมณ์ขันสีดำ พร้อมชี้ว่าดูเหมือนไทม์ไลน์จะเรียงจากเหตุข้อมูลรั่วไหลที่เก่าที่สุดไปใหม่สุด แต่เกิดความสับสนเพราะวันที่ที่แสดงไม่ใช่วันที่ข้อมูลรั่วจริง แต่เป็นวันที่เรื่องรั่วถูกเปิดเผย จึงเสนอว่าทั้งการเรียงลำดับและการแสดงผลควรอิง “วันที่เปิดเผย” ให้ชัดเจนไปเลย และในแต่ละการ์ดค่อยแสดงวันที่ข้อมูลรั่วจริงในรูปแบบมาตรฐาน จะเข้าใจง่ายกว่า