Το Have I Been Pwned γίνεται open-source project και θα δέχεται στοιχεία και από το FBI

**nnn** · 28-05-21, 11:16

Ο γνωστός ιστότοπος Have I Been Pwned συνεργάζεται πλέον και με το FBI, προκειμένουν να ενημερώνει την βάση δεδομένων με τους παραβιασμένους λογαριασμούς του, με τα στοιχεία που συλλέγουν σε διάφορες έρευνες οι Ομοσπονδιακές αρχές των ΗΠΑ.

Σύμφωνα με τον δημιουργό του Troy Hunt, το FBI ζήτησε αυτήν την συνεργασία.

Bryan A. Vorndran, Assistant Director of FBI'sCyber Division, said:

"We are excited to be partnering with HIBP on this important project to protect victims of online credential theft. It is another example of how important public/private partnerships are in the fight against cybercrime."

Μετά από αυτήν την εξέλιξη το HIBP γίνεται open-source project, υπό τον μη κερδοσκοπικό οργανισμό .NET Foundation.

Πηγή : Engadget

**eliasbats** · 28-05-21, 11:53

Είναι πολύ καλό σάιτ για ενημέρωση και για να ξέρεις τί σου γίνεται... αλλά... να πω την αλήθεια πάντα τα έβλεπα με μια μικρή καψυποψία. Θεωρητικά, και επειδή σου ζητάει το password σου για να το ψάξει στη ΒΔ του, αυτοί θα μπορουσαν με αυτον τον τροπο να φτιάξουν τo ultimate dictionary για attacks...

Yabba · 28-05-21, 11:59

Μόνο email address ζητάει.

**tsigarid** · 28-05-21, 12:24

Αρχικό μήνυμα από eliasbats

Είναι πολύ καλό σάιτ για ενημέρωση και για να ξέρεις τί σου γίνεται... αλλά... να πω την αλήθεια πάντα τα έβλεπα με μια μικρή καψυποψία. Θεωρητικά, και επειδή σου ζητάει το password σου για να το ψάξει στη ΒΔ του, αυτοί θα μπορουσαν με αυτον τον τροπο να φτιάξουν τo ultimate dictionary για attacks...

Ζητάει password; Που το είδες αυτό;

**jkoukos** · 28-05-21, 12:27

Στην αρχική σελίδα, έχει πεδίο μόνο για έλεγχο του email. Ωστόσο στην κορυφή της, έχει tab στο μενού που σε οδηγεί σε αντίστοιχο έλεγχο του password.

**tsigarid** · 28-05-21, 12:30

Αρχικό μήνυμα από jkoukos

Στην αρχική σελίδα, έχει πεδίο μόνο για έλεγχο του email. Ωστόσο στην κορυφή της, έχει tab στο μενού που σε οδηγεί σε αντίστοιχο έλεγχο του password.

Δεν το είχα δει αυτό.

Yabba · 28-05-21, 12:37

Αρχικό μήνυμα από jkoukos

Στην αρχική σελίδα, έχει πεδίο μόνο για έλεγχο του email. Ωστόσο στην κορυφή της, έχει tab στο μενού που σε οδηγεί σε αντίστοιχο έλεγχο του password.

Ακόμα κι έτσι δεν σε υποχρεωνει να δώσεις τον συνδυασμό του email και του password μαζί.
Δεν νομίζω οτι τους χρησιμεύει σε κάτι το κάθε στοιχείο ξεχωριστά ώστε να στήσουν "dictionary" όπως έγραψε ο φίλος παραπάνω.

**villager** · 28-05-21, 12:46

Το χρησιμοποιώ χρόνια τώρα...

Σχετικά με το password κάνει αναζήτηση μέσω hash αλγόριθμο αν βρεθεί σε ήδη λίστα που έχει διαρρεύσει αυτό το μοναδικό hash κλειδί του password σας τότε σε ενημερώνει ότι έχει διαρρεύσει. Δεν κράτα αναζητεί τον καθεαυτό κωδικό σας.

**jkoukos** · 28-05-21, 12:52

Αρχικό μήνυμα από Yabba

Ακόμα κι έτσι δεν σε υποχρεωνει να δώσεις τον συνδυασμό του email και του password μαζί.

Δεν ανέφερα κάτι σχετικό, παρά μόνον ότι μπορείς να ψάξεις και τον κωδικό.

Yabba · 28-05-21, 12:54

Όχι εσύ βρε

**GrandGamer** · 28-05-21, 14:08

Αρχικό μήνυμα από eliasbats

Είναι πολύ καλό σάιτ για ενημέρωση και για να ξέρεις τί σου γίνεται... αλλά... να πω την αλήθεια πάντα τα έβλεπα με μια μικρή καψυποψία. Θεωρητικά, και επειδή σου ζητάει το password σου για να το ψάξει στη ΒΔ του, αυτοί θα μπορουσαν με αυτον τον τροπο να φτιάξουν τo ultimate dictionary για attacks...

Κι εγώ είχα αυτή την καχυποψία αλλά αν ψάξεις το API του και δεις πως λειτουργεί, θα δεις οτι δεν στέλνει το password στο server παρά μόνο τα τελευταία 5 ψηφία του SHA-1 hash και μετά συγκρίνει με τα αποτελέσματα τοπικά. Μπορείς να κανείς τον έλεγχο μόνος σου αν έχεις ιδέα από API calls και hashes.
https://haveibeenpwned.com/API/v3#PwnedPasswords

Επίσης στην ίδια σελίδα που ελέγχεις το password, αν πας κάτω κάτω έχει να κατεβάσεις τα hashes για να ψάξεις μόνος.

**Gentoo** · 28-05-21, 14:15

Αρχικό μήνυμα από jkoukos

Στην αρχική σελίδα, έχει πεδίο μόνο για έλεγχο του email. Ωστόσο στην κορυφή της, έχει tab στο μενού που σε οδηγεί σε αντίστοιχο έλεγχο του password.

Άκρως επικίνδυνο κάτι τέτοιο.

**jkoukos** · 28-05-21, 14:22

Pourquoi?

**GrandGamer** · 28-05-21, 14:30

Αρχικό μήνυμα από Gentoo

Άκρως επικίνδυνο κάτι τέτοιο.

Γενικά είναι αλλά εξήγησα πιο πάνω το πως λειτουργεί ακριβώς το συγκεκριμένο site και όποιος δεν θέλει δεν βάζει το password στη σελίδα και το ψάχνει μέσω του API ή από τα downloadable hashes.

**Gentoo** · 28-05-21, 14:36

Αρχικό μήνυμα από jkoukos

Pourquoi?

Όχι επίφοβο απ'την έννοια ότι θα σου υποκλέψει το site το password.

Αν όμως ένας κοινός χρήστης έχει malware στον browser, εκεί ίσως υπάρχει πρόβλημα.

Και για να προλάβω την απάντηση "ναι αλλά στον ίδιο browser θα βάλει τον ίδιο κωδικό στο site που πρέπει, κλπ", μπορεί στο συγκεκριμένο browser να μην έβαζε κάποιο πολύ ευαίσθητο password και να το βάλει μόνο και μόνο για να τσεκάρει αν είναι οκ.

Αρχικό μήνυμα από GrandGamer

Γενικά είναι αλλά εξήγησα πιο πάνω το πως λειτουργεί ακριβώς το συγκεκριμένο site και όποιος δεν θέλει δεν βάζει το password στη σελίδα και το ψάχνει μέσω του API ή από τα downloadable hashes.

Ναι, το είδα αφότου έκανα το comment. Έτσι, μάλιστα.

Θέμα: Το Have I Been Pwned γίνεται open-source project και θα δέχεται στοιχεία και από το FBI

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές