「Have I Been Pwned」の10年の歴史
(troyhunt.com)A Decade of Have I Been Pwned
- Have I Been Pwned は、データ漏えい事故が発生した際に、ユーザーのメールアドレスが含まれていたかどうかを確認できるサービスです。
- このサービスは10年にわたりユーザーにデータ漏えい情報を提供し、インターネットのセキュリティに貢献してきました。
- ユーザーはメールアドレスを入力して、自分の個人情報が漏えいした事件があるかどうかを確認できます。
GN⁺の意見
- Have I Been Pwned サービスは、個人情報保護とサイバーセキュリティにおいて重要な役割を果たしています。
- このサービスは、ユーザーが自分のデータが危険にさらされているかを簡単に把握できるようにし、セキュリティ意識の向上に貢献しています。
- 10年という長い期間にわたって継続的にサービスを提供してきた点が特に興味深く、これはサイバーセキュリティ分野における継続的な努力と進化を反映しています。
1件のコメント
Hacker Newsの意見
Troy HuntはWebアプリケーション開発者にとって大きな資産である。credential stuffingに対する防御策は必須であり、特に二要素認証が最善の防御策だが、Huntのハッシュ化されたパスワードデータベースを確認することも、ユーザーに追加の作業を求めずに非常に効果的である。
アカウント侵害の大半はcredential stuffingやパスワードの使い回しに起因すると推測している。大企業がこうしたチェックを行わないのは驚きである。設定は簡単で、1日あれば十分である。
Webアプリを開発している初期段階のエンジニアやCTOであれば、credential stuffing攻撃をまだ経験していないかもしれないが、いつかは必ず直面することになる。攻撃を受けると、徹夜で対応し、データ漏えい通知を出すなどの苦労をすることになる。
Troy Huntの無料データベースを使えば、このような苦労を防ぐことができる。利用を勧める。
Troy Huntが離婚について具体的に言及したことがあるのか、資産分割と所有権の決定によって長期化し、高額なものになったのではないかと推測している。
サイトは以前は素晴らしい体験を提供していたが、今では年間169.50ドルを支払い、100件の侵害アカウントを確認しなければならないなど、収益化の手段に変わってしまったと感じる。
各Webサイトごとに固有のメールアドレス(データ漏えい検知用)を使っているが、ドメインの結果を検索しようとすると、サブスクリプションが必要だというエラーに遭遇する。
Troy Huntが公開データのコンパイルを「侵害」に含めることで、侵害アカウント数を人為的に膨らませていると批判している。年間5〜12ドル程度であれば妥当だと考えている。
haveibeenpwned.comと似たさまざまなドメイン名が生まれているのは、メディアでの知名度がもたらした興味深い副作用だと評価している。
Troy Huntの文章は非常に有益だと思う。k-匿名性を使ってパスワードを送信せずにpwnedファイルを確認する方法について読み、これを研究して業務上のプロジェクトに適用した経験を共有している。
ハッカーたちはpwnedパスワードデータベースを使って説得力のあるフィッシングメールを作り出している。このような詐欺に人々が引っかかるのか気になる。大半はスパムフィルターにかかるが、ときどきスパムフィルターを通過することもある。HIBPサービスとTroy Huntの文章に感謝を示している。
HaveIBeenPwnedがユーザーの認識に与えた影響を強調している。
SpyCloudのほうがより大きなデータセットを持ち、企業と直接協力してcredential reuseを実際に緩和することに貢献しているにもかかわらず、十分な評価を受けていないと感じている。
この10年間で、ストーキング被害者たちがHaveIBeenPwnedを使って、自分のアカウントや私生活が侵害された可能性に気づいたことについて考えている。
サイトは、悪意ある行為者がサービスを利用する前に、ユーザーが先に登録し、検索結果から自分の情報を隠さなければならないという立場を維持している。
プライバシーを重視する人々のために、HaveIBeenPwnedで自分の情報を公開検索から削除する方法を共有している。
Troy Huntがジェットスキーに乗って自由を満喫していることへの言及がある.