¿Me han engañado? ( HIBP , con " Pwned " pronunciado como "poned", [2] y alternativamente escrito con la mayúscula "¿he sido pwned?") Es un sitio web que permite a los usuarios de Internet verificar si sus datos personales han sido comprometidos por violaciones de datos . El servicio recopila y analiza cientos de volcados y pegados de bases de datos.que contiene información sobre miles de millones de cuentas filtradas y permite a los usuarios buscar su propia información ingresando su nombre de usuario o dirección de correo electrónico. Los usuarios también pueden registrarse para recibir notificaciones si su dirección de correo electrónico aparece en volcados futuros. El sitio ha sido ampliamente promocionado como un recurso valioso para los usuarios de Internet que desean proteger su propia seguridad y privacidad. [3] [4] ¿Me han contratado? fue creado por el experto en seguridad Troy Hunt el 4 de diciembre de 2013.
Captura de pantalla | |
Tipo de sitio | Seguridad de Internet |
---|---|
Creado por | Troy Hunt |
URL | haveibeenpwned |
Comercial | sí |
Registro | Opcional |
Usuarios | 2 millones de suscriptores de correo electrónico verificados [1] |
Lanzado | 4 de diciembre de 2013 |
Estado actual | En línea |
A junio de 2019, ¿me han contratado? tiene un promedio de alrededor de ciento sesenta mil visitantes diarios, el sitio tiene casi tres millones de suscriptores de correo electrónico activos y contiene registros de casi ocho mil millones de cuentas. [5]
Características
La función principal de Have I Been Pwned? desde su lanzamiento, es para proporcionar al público en general un medio para verificar si su información privada ha sido filtrada o comprometida. Los visitantes del sitio web pueden ingresar una dirección de correo electrónico y ver una lista de todas las violaciones de datos conocidas con registros vinculados a esa dirección de correo electrónico. El sitio web también proporciona detalles sobre cada violación de datos, como la historia de fondo de la violación y qué tipos específicos de datos se incluyeron en ella.
¿Me han engañado? también ofrece un servicio de "Notificarme" que permite a los visitantes suscribirse a notificaciones sobre futuras infracciones. Una vez que alguien se registre en este servicio de envío de notificaciones, recibirá un mensaje de correo electrónico cada vez que su información personal se encuentre en una nueva violación de datos.
En septiembre de 2014, Hunt agregó una funcionalidad que permitió agregar automáticamente nuevas violaciones de datos a la base de datos de HIBP. La nueva función utilizó Dump Monitor, un bot de Twitter que detecta y transmite probables volcados de contraseñas que se encuentran en las pastas pastebin , para agregar automáticamente nuevas infracciones potenciales en tiempo real. Las filtraciones de datos suelen aparecer en pastebins antes de que se den a conocer ampliamente; por lo tanto, monitorear esta fuente permite que los consumidores sean notificados antes si se han visto comprometidos. [6]
Además de detallar los eventos de violación de datos por los que se ha visto afectada la cuenta de correo electrónico, el sitio web también indica a aquellos que aparecen en la búsqueda de su base de datos que instalen un administrador de contraseñas, a saber , 1Password , que Troy Hunt ha respaldado recientemente. [7] Una explicación en línea en su sitio web [8] explica sus motivos y sostiene que la ganancia monetaria no es el objetivo de esta asociación.
Contraseñas Pwned
En agosto de 2017, Hunt hizo públicas 306 millones de contraseñas a las que se podía acceder a través de una búsqueda en la web o descargables de forma masiva. [9]
En febrero de 2018, el científico informático británico Junade Ali creó un protocolo de comunicación (utilizando k -anonimato y hash criptográfico ) para verificar de forma anónima si se filtró una contraseña sin revelar completamente la contraseña buscada. [10] [11] Este protocolo se implementó como una API pública en el servicio de Hunt y ahora es consumido por múltiples sitios web y servicios, incluidos administradores de contraseñas [12] [13] y extensiones de navegador . [14] [15] Este enfoque fue posteriormente replicado por la función de verificación de contraseña de Google . [16] [17] [18] Ali trabajó con académicos de la Universidad de Cornell para analizar formalmente el protocolo para identificar limitaciones y desarrollar dos nuevas versiones de este protocolo conocidas como Bucketización de tamaño de frecuencia y Bucketización basada en identificadores . [19] En marzo de 2020, se añadió relleno criptográfico a este protocolo. [20]
Historia
Lanzamiento
A finales de 2013, el experto en seguridad web Troy Hunt estaba analizando las filtraciones de datos en busca de tendencias y patrones. Se dio cuenta de que las infracciones podrían afectar en gran medida a los usuarios que ni siquiera sabían que sus datos estaban comprometidos y, como resultado, comenzó a desarrollar HIBP. "Probablemente el principal catalizador fue Adobe", dijo Hunt sobre su motivación para iniciar el sitio, refiriéndose a la brecha de seguridad de Adobe Systems que afectó a 153 millones de cuentas en octubre de 2013 [21].
Lanzamiento de Hunt ¿He sido Pwned? el 4 de diciembre de 2013 con un anuncio en su blog. En ese momento, el sitio solo tenía cinco filtraciones de datos indexadas: Adobe Systems, Stratfor , Gawker , Yahoo! Voices y Sony Pictures. [22] Sin embargo, el sitio ahora tenía la funcionalidad para agregar fácilmente futuras infracciones tan pronto como se hicieran públicas. Hunt escribió:
Ahora que tengo una plataforma en la que construir, podré integrar rápidamente las brechas futuras y hacer que las personas que puedan haber sido afectadas puedan buscarlas rápidamente. Es un juego un poco injusto en este momento: los atacantes y otras personas que deseen utilizar violaciones de datos con fines maliciosos pueden obtener y analizar los datos muy rápidamente, pero su consumidor promedio no tiene una forma viable de extraer gigabytes de cuentas comprimidas con gzip de un torrent y descubrir si han sido comprometidos o no. [22]
Filtraciones de datos
Desde su lanzamiento, el enfoque de desarrollo principal de HIBP ha sido agregar nuevas violaciones de datos lo más rápido posible después de que se filtran al público.
En julio de 2015, el servicio de citas en línea Ashley Madison , conocido por animar a los usuarios a tener extramaritales asuntos , sufrió una fuga de datos y las identidades de más de 30 millones de usuarios del servicio se filtraron al público. La violación de datos recibió una amplia cobertura de los medios, presumiblemente debido a la gran cantidad de usuarios afectados y la vergüenza percibida de tener una aventura. Según Hunt, la publicidad de la infracción resultó en un aumento del 57.000% en el tráfico hacia HIBP. [23] Después de esta infracción, Hunt agregó una funcionalidad a HIBP mediante la cual las infracciones consideradas "sensibles" no se podrían buscar públicamente y solo se revelarían a los suscriptores del sistema de notificación por correo electrónico. Esta funcionalidad se habilitó para los datos de Ashley Madison, así como para los datos de otros sitios potencialmente escandalosos, como Adult FriendFinder . [4]
En octubre de 2015, una fuente anónima se puso en contacto con Hunt y le proporcionó un volcado de 13,5 millones de direcciones de correo electrónico y contraseñas de texto sin formato de usuarios, alegando que provenían de 000webhost, un proveedor de alojamiento web gratuito . Trabajando con Thomas Fox-Brewster de Forbes , verificó que el volcado probablemente era legítimo probando las direcciones de correo electrónico y confirmando la información confidencial con varios clientes de 000webhost. Hunt y Fox-Brewster intentaron muchas veces ponerse en contacto con 000webhost para confirmar aún más la autenticidad de la violación, pero no pudieron obtener una respuesta. El 29 de octubre de 2015, tras un restablecimiento de todas las contraseñas y la publicación del artículo de Fox-Brewster sobre la violación, 000webhost anunció la violación de datos a través de su página de Facebook . [24] [25]
A principios de noviembre de 2015, el Grupo Paysafe , la empresa matriz de ambos proveedores, confirmó que dos infracciones de los proveedores de pago de juegos de azar, Neteller y Skrill, eran legítimas . Los datos incluían 3,6 millones de registros de Neteller obtenidos en 2009 utilizando un exploit en Joomla y 4,2 millones de registros de Skrill (entonces conocido como Moneybookers) que se filtraron en 2010 después de que una red privada virtual se vio comprometida. Los 7,8 millones de registros combinados se agregaron a la base de datos de HIBP. [26]
Más tarde ese mes, el fabricante de juguetes electrónicos VTech fue pirateado y una fuente anónima proporcionó en forma privada una base de datos que contenía casi cinco millones de registros de padres a HIBP. Según Hunt, esta fue la cuarta mayor violación de la privacidad del consumidor hasta la fecha. [27]
En mayo de 2016, una serie sin precedentes de violaciones de datos muy grandes que se remontan a varios años se lanzaron en un corto período de tiempo. Estas infracciones incluyeron 360 millones de cuentas de Myspace de alrededor de 2009, 164 millones de cuentas de LinkedIn de 2012, 65 millones de cuentas de Tumblr de principios de 2013 y 40 millones de cuentas del servicio de citas para adultos Fling.com. Estos conjuntos de datos fueron puestos a la venta por un pirata informático anónimo llamado "peace_of_mind", y poco después se proporcionaron a Hunt para que los incluyera en HIBP. [28] En junio de 2016, se agregó a la base de datos de HIBP una "mega violación" adicional de 171 millones de cuentas de la red social rusa VK . [29]
En agosto de 2017, BBC News presentó Have I Been Pwned? sobre el descubrimiento de Hunt de una operación de spam que se ha basado en una lista de 711,5 millones de direcciones de correo electrónico. [30]
Esfuerzo de venta infructuoso
A mediados de junio de 2019, Hunt anunció planes para vender Have I Been Pwned? a una organización aún por determinar. En su blog, describió sus deseos de reducir el estrés personal y expandir el sitio más allá de lo que él mismo pudo lograr. [5] A partir del lanzamiento de la publicación del blog, estaba trabajando con KPMG para encontrar empresas que considerara adecuadas y que estuvieran interesadas en la adquisición. Sin embargo, en marzo de 2020, anunció en su blog que Have I Been Pwned? seguiría siendo independiente en el futuro previsible. [31]
De código abierto
El 7 de agosto de 2020, Hunt anunció en su blog su intención de abrir el archivo Have I Been Pwned? base de código. [32] Comenzó a publicar un código el 28 de mayo de 2021. [33]
Marca
El nombre "¿Me han Pwned?" se basa en el término de la jerga infantil de script " pwn ", que significa "comprometer o tomar el control, específicamente de otra computadora o aplicación".
El logotipo de HIBP incluye el texto ';--
, que es una cadena de ataque de inyección SQL común . Un pirata informático que intente tomar el control de la base de datos de un sitio web podría usar dicha cadena de ataque para manipular un sitio web para que ejecute código malicioso. Los ataques de inyección son uno de los vectores más comunes por los cuales puede ocurrir una violación de la base de datos; son la vulnerabilidad de aplicaciones web número uno más común en la lista OWASP Top 10. [34]
Ver también
- Monitor de Firefox
- Seguridad de la base de datos
Referencias
- ^ "Estamos horneando si me han puesto en Firefox y 1Password" . troyhunt.com . 25 de junio de 2018.
- ^ Merriam-Webster: ¿Qué significa 'Pwn'? Y como lo dices
- ^ Seltzer, Larry (5 de diciembre de 2013). "Cómo saber si su contraseña ha sido robada" . ZDNet . Consultado el 18 de marzo de 2016 .
- ^ a b Price, Rob (20 de agosto de 2015). "HaveIBeenPwned.com te permite ver si estás en la fuga de hack de Ashley Madison" . Business Insider . Consultado el 18 de marzo de 2016 .
- ^ a b "Proyecto Svalbard: el futuro de he sido pwned" . Troy Hunt . 11 de junio de 2019 . Consultado el 11 de junio de 2019 .
- ^ O'Neill, Patrick Howell (16 de septiembre de 2014). "Cómo saber si te han pirateado en menos de un minuto" . El punto diario . Consultado el 20 de mayo de 2016 .
- ^ "Encontrar contraseñas Pwned con 1Password - Blog de AgileBits" . agilebits.com . 22 de febrero de 2018.
- ^ "Have I Been Pwned se está asociando ahora con 1Password" . troyhunt.com . 29 de marzo de 2018.
- ^ "¿Necesitas una nueva contraseña? No elijas una de estos 306 millones" . Engadget . Consultado el 29 de mayo de 2018 .
- ^ "Averigüe si su contraseña ha sido establecida, sin enviarla a un servidor" . Ars Technica . Consultado el 24 de mayo de 2018 .
- ^ "Pernos de 1Password en una verificación de 'contraseña pwned' - TechCrunch" . techcrunch.com . Consultado el 24 de mayo de 2018 .
- ^ "1Password se integra con 'Pwned Passwords' para comprobar si sus contraseñas se han filtrado en línea" . Consultado el 24 de mayo de 2018 .
- ^ Conger, Kate. "1Password le ayuda a averiguar si su contraseña está puesta" . Gizmodo . Consultado el 24 de mayo de 2018 .
- ^ Condon, Stephanie. "Okta ofrece autenticación multifactor gratuita con un nuevo producto, One App | ZDNet" . ZDNet . Consultado el 24 de mayo de 2018 .
- ^ Coren, Michael J. "La base de datos de contraseñas pirateadas más grande del mundo es ahora una extensión de Chrome que comprueba la tuya automáticamente" . Cuarzo . Consultado el 24 de mayo de 2018 .
- ^ Wagenseil Yo, Paul. "La nueva extensión de Chrome de Google encuentra sus contraseñas pirateadas" . www.laptopmag.com .
- ^ "Google lanza una extensión de verificación de contraseña para alertar a los usuarios de violaciones de datos" . BleepingComputer .
- ^ Dsouza, Melisha (6 de febrero de 2019). "La nueva extensión de Chrome de Google 'Password CheckUp' comprueba si su nombre de usuario o contraseña han sido expuestos a una infracción de terceros" . Packt Hub .
- ^ Li, Lucy; Pal, Bijeeta; Ali, Junade; Sullivan, Nick; Chatterjee, Rahul; Ristenpart, Thomas (6 de noviembre de 2019). "Protocolos para verificar credenciales comprometidas". Actas de la Conferencia ACM SIGSAC 2019 sobre seguridad informática y de comunicaciones . Nueva York, NY, EE. UU .: ACM: 1387–1403. arXiv : 1905.13737 . Código bibliográfico : 2019arXiv190513737L . doi : 10.1145 / 3319535.3354229 . ISBN 978-1-4503-6747-9.
- ^ Ali, Junade (4 de marzo de 2020). "Relleno de contraseñas Pwned (pies. Lava Lamps and Workers)" . El blog de Cloudflare . Consultado el 12 de mayo de 2020 .
- ^ Coz, Joseph (10 de marzo de 2016). "El auge de '¿He sido Pwned?', Un recurso invaluable en la era de la piratería" . Vice . Consultado el 18 de marzo de 2016 .
- ^ a b Cluley, Graham (5 de diciembre de 2013). "Compruebe si es víctima de una violación de datos con '¿Me han pwned? ' " . grahamcluley.com . Consultado el 20 de mayo de 2016 .
- ^ Rash, Wayne (28 de mayo de 2016). "Cómo Troy Hunt está alertando a los usuarios web atrapados en enormes violaciones de datos" . eWeek . Consultado el 15 de junio de 2016 .
- ^ Fox-Brewster, Thomas (28 de octubre de 2015). "Parece que se han filtrado 13 millones de contraseñas de este servidor web gratuito - ACTUALIZADO" . Forbes . Consultado el 20 de mayo de 2016 .
- ^ 000webhost (29 de octubre de 2015). "Hemos sido testigos de una violación de la base de datos en nuestro servidor principal" . Facebook . Consultado el 20 de mayo de 2016 .
- ^ Fox-Brewster, Thomas (30 de noviembre de 2015). "Gambling Darling Paysafe confirma 7,8 millones de clientes golpeados en épicos viejos trucos" . Forbes . Consultado el 20 de mayo de 2016 .
- ^ Franceschi-Bicchierai, Lorenzo (27 de noviembre de 2015). "Uno de los hacks más grandes hasta ahora expone datos sobre cientos de miles de niños" . Vice . Consultado el 31 de marzo de 2016 .
- ^ Storm, Darlene (30 de mayo de 2016). "Pwned: 65 millones de cuentas de Tumblr, 40 millones de Fling, 360 millones de MySpace" . Computerworld . Consultado el 15 de junio de 2016 .
- ^ Whittaker, Zack (10 de junio de 2016). "Más" mega infracciones "por venir, ya que los piratas informáticos rivales compiten por las ventas" . ZDNet . Consultado el 15 de junio de 2016 .
- ^ Kelion, Leo (30 de agosto de 2017). "Spambot gigante recogió 711 millones de direcciones de correo electrónico" . BBC News . Consultado el 30 de agosto de 2017 .
- ^ "Proyecto Svalbard, he sido Pwned y su independencia en curso" . Troy Hunt . 3 de marzo de 2020 . Consultado el 30 de abril de 2020 .
- ^ Caza, Troy. "Soy Open Sourcing de la base de código Have I Been Pwned" . Consultado el 8 de agosto de 2020 .
- ^ Caza, Troy. "Contraseñas Pwned, Open Source en .NET Foundation y trabajando con el FBI" . Consultado el 29 de mayo de 2021 .
- ^ "Top 10 2013-Top 10" . OWASP . Consultado el 20 de mayo de 2016 .
enlaces externos
- Página web oficial
- ¿Me han engañado? publicación de blog de anuncio en troyhunt.com