Have I Been Pwned 2.0

 (troyhunt.com)
2 ポイント 投稿者 GN⁺ 2025-05-20 | 1件のコメント | WhatsAppで共有
  • データ漏えい確認サービス Have I Been Pwned が完全に刷新
  • 新しいデザインとともに、主要 Webページの機能 が大幅に変更・改善
  • 検索 機能がより直感的になり、アカウント確認方法や各種データ侵害事例の案内が強化
  • ユーザーダッシュボード、ドメイン検索、APIドキュメントなど、さまざまな 新規・改善機能 が追加
  • Webパフォーマンスとセキュリティは 最新のクラウドインフラ 上で実装され、高速で安全なユーザー体験を提供

紹介と背景

  • Have I Been Pwned(以下 HIBP)2.0 は、長期間の開発を経て完全に新しく公開
  • 2023年2月の最初のコミット、2024年3月のソフトローンチとオープンソース化を経て、全面的に再構築され、新しいブランドアイデンティティが適用されたサイトとして公開
  • サイト全体の構造と機能が改編され、新機能とともにマーチャンダイズストアもオープン

検索機能

  • HIBP の代表機能であるトップページの検索ボックスが、より直感的で新鮮な演出(紙吹雪アニメーション)へと改善
  • ユーザー体験が重苦しくならないよう、重く否定的な雰囲気を避け、ユーザーに 事実に基づく実用的な情報 を提供することに注力
  • ユーザー名および電話番号検索は Webサイトから削除(ただし API では従来方式を維持)
    • メールアドレスベースの検索のほうが、パース、通知、サービスの一貫性の面でより適している
    • 電話番号やユーザー名はデータ処理負荷が高く、実際にはほとんど使われていないため、混乱を減らす目的で除外を決定

データ侵害ケースページ

  • すべての侵害(漏えい)案件ごとに 専用の詳細ページ を新たに提供
  • 従来よりさらに直感的で見やすいレイアウトで、被害状況や対応方法など、具体的で実行可能な個別アドバイスを案内
  • 他機関(例: NCSC)との協力により、地域別のカスタマイズ情報なども追加予定
  • 今後は 2FA やパスキーなどの対応可否、ユーザー向けの個別ガイドなど詳細情報を追加予定

ダッシュボード

  • 従来の複数機能(機微な侵害の確認、ドメイン管理、購読管理など)を 統合ダッシュボード に一本化
  • ダッシュボードはメール認証ベースでアクセスし、今後はパスキーなど新しい認証方式も追加予定
  • ファミリーアカウント通知など、今後拡張可能なプラットフォームとして発展できる可能性を提供

ドメイン検索機能

  • ドメイン検証/検索 機能を全面的に再設計し、よりクリーンな UI と多様なフィルター対応(例: 最新の漏えいのみ表示)を追加
  • 完全なシングルページアプリ(SPA)構造で、検索結果は API を通じて JSON で迅速に提供
  • ドメイン所有権確認プロセスも新たに簡素化
  • メール以外の認証方式は別途改善予定

API

  • 今回のアップデートで API 自体の変更や停止は一切なし
  • API ドキュメントは OpenAPI ベースの Scalar ツール導入を準備中だが、現時点では既存ドキュメントを維持しつつ新しいスタイルに統一
  • 今後 Scalar ベースの最新ドキュメントへ移行予定

マーチャンダイズ・ステッカー

  • HIBP ブランディングのグッズショップが正式オープンし、Tシャツなどの商品販売を開始(Teespring ベース、マージンなし)
  • ステッカーは Sticker Mule ストアで引き続き運営し、アートワークはオープンソースとして自由に利用可能

技術とインフラ

  • サイトのバックエンドは Microsoft Azure ベースで、App Service、Functions、Hyperscale SQL、Storage などを使用
  • 主要な Web アプリは C# と .NET 9.0、ASP.NET MVC(.NET Core)で構築
  • Cloudflare が WAF、キャッシュ、Turnstile(anti-bot)、R2 ストレージなどで有効活用されている
  • フロントエンドでは最新の Bootstrap、SASS、TypeScript をベースにモダンなインターフェースを実装
  • Iceland を拠点とする開発者 Ingiber など主要メンバーの貢献により、高い完成度と洗練された UI を実現
  • Webページの容量とリクエスト数をそれぞれ約 28%、31% 削減し、11年前より効率的に最適化
  • トラッキングや広告データなど不要な要素は完全に排除 し、ユーザープライバシーを重視

AI 活用

  • 今回のサイト再構築では Chat GPT を活用し、CSS、アイコン提案、Cloudflare 設定、.NET Core の特性など、さまざまな開発課題の解決に積極的に利用
  • AI の素早い提案とコード自動化により、生産性が大幅に向上 したことを実感
  • 迅速なマイグレーションや作業自動化において、高い精度と有用性を確認

開発の歩みと結論

  • 法務文書の更新など、目に見えない多様な作業にも長い時間とコストを要した
  • ローンチ前後には何度も緊急修正と反復リリースを行い、問題を迅速に解決
  • 初心を失わず、サービスの専門性、拡張性、快適性を守りながら再出発を完了
  • HIBP は 2013年から人生の4分の1を注いできた情熱の成果であり、今回の 2.0 によりコミュニティサービスとしての新たな飛躍が期待される

関連記事

1件のコメント

 
GN⁺ 2025-05-20
Hacker Newsのコメント
  • 法律事務所と提携し、過失によるあらゆるデータ漏えい(実質的にはほぼすべてのケース)について集団訴訟を推進したいという構想を共有。決済銀行サービスと連携して、和解金支払い時に数百万人へ直接送金できれば現代の英雄になれるだろうという想像も述べている。実際に過失のある企業へ痛烈な判決を下させるには、有能な弁護士と協力することが重要だと強調し、単なる少額和解では無責任な経営を温存してしまう危険があると警告。選択的に、訴訟が近いというデータを投資会社に売る可能性にも触れ、最終的にはデータ漏えいのニュースだけでもその企業の株価が打撃を受けるのが当然という社会的空気が生まれてほしいと述べている
    • 和解金が発生するたびに少額をすぐ良い団体へ寄付できるなら、集団訴訟に参加する意欲がもっと湧きそうだという希望
    • その銀行サービスについて、そうしたシステムに保管されたデータ自体がまた漏えいするまでどれくらいかかるのか不安だ、という冗談
    • こうした仕組みはむしろ逆効果になりかねないという懸念。企業にとって漏えい事実の公表自体がすでに難しいのに、この構造はリスクだけを増やし、公表回避を助長するだけではないかと心配している。自分の情報が漏えいしたか知ってパスワードを変更できるほうがよいという意見
    • 個人情報がGoogleに売られた件でBlue Shieldから補償を受ける日をまだ待っている、という不満とともに、このサービスを使いたい意思を表明
  • LinkedInのような巨大サイトが、ついこの10年ほどの間にソルトなしのパスワードを保存していたという事実に驚き。現代でどうしてこんなミスが起こりうるのか疑問だという声
    • こうしたことは意図せずとも思った以上に簡単に起こりうると説明。ミドルウェアの立場から見ると、JSONデータ内のpasswordフィールドは単なる別のフィールドとして認識されうるし、APIやロギングシステムがリクエスト本文全体をログに残すようになっていれば、実際に問題が起こりうる。ソルトなしのパスワードをパスワードストアへ直接保存するのはまれだろうが、たとえばAndroidアプリのAPIゲートウェイで「パスワードを忘れた」ようなフローを機密情報として扱い損ねれば、似た問題が起こるという経験談
    • こういうミスが起きるのは、エンジニア採用面接でLeetcode Hard問題を十分に出していないからだ、という冗談めいた意見
    • AI Slop(AI由来の品質低下)の話はよくされるが、実際には長年にわたりOutsourced Slop(外注開発の品質低下)の問題も深刻に存在していたという指摘。LinkedInも外注プログラマーの成果物が主因である可能性が高いという経験に基づく見方。見た目だけまともで中身が粗い製品を避けるには、強力で有能なマネージャーが品質基準を定め、検証しなければならないという主張
    • こうしたミスは、過去に構築された古いレガシーなメインフレームなど、誰も保守や移行に時間や予算を投じられず放置されたシステムのせいで起きる可能性があるという指摘。大企業ほど重要システムの硬直化が強く、1時間止めるだけでも数百万円以上の「損失」と見なされ、整備がいっそう不可能になるという構造的問題を挙げている
  • 多くの一般ユーザーがHave I Been Pwnedを頻繁に使い、そこから1Passwordへ流入するのは最良の選択肢だと思う、という意見。実際、1Passwordとのプロモーションは非常に相性のよい協業だと述べ、そのバナー文言を「強くおすすめ」のようにもっと目立つ表現へ変えてほしいと提案している。ソーシャルアカウント乗っ取り被害の大半はパスワード再利用が原因であり、そうした経験から安全なパスワード利用の教育とパスワードマネージャーへの導線は非常に前向きだと強調。過去1年間で実際に20件以上の問題解決を手伝った経験を共有しつつ、リニューアルを祝福している
  • すべてのデータ漏えい履歴をロゴと紹介文つきで縦スクロール形式に表示する機能は、恐ろしいが驚くべきものだという感想
    • データ漏えいを見ると無力感があり、信用凍結以外に取れる対策がほとんどない、という自嘲
  • 最多のデータ漏えい記録を持つのは誰なのか気になる、という声。自分のメインメールはこれまで40件の漏えいに登場しており、最も古いのは2011年6月(HackForums、記憶にもない)、最近のものは2024年9月(FrenchCitizens、フランスとは無関係)だという体験談
    • ある人が、その記録を1件差で上回ったと返信
    • john@yahoo.com というメールアドレスが、なんと322件もの漏えいに載っていたという驚くべき記録
  • もう少しプライバシーを重視したいなら、このサービスには自分のメール検索結果を隠せるopt-out機能がある、という豆知識
  • 複数のメールエイリアスを使っているので、ひとつずつ検索するのは不可能だ。ドメイン単位で一括検索できる機能があるとよい、という希望
    • 「The Domain Search Feature」の案内の下で、ドメイン所有権を確認すれば一度に結果を見られるという方法の案内
  • 本当に素晴らしいサイトだという感想とともに、こうした問題を政府がもっと真剣に受け止めてほしいという願い。なりすましやアカウント乗っ取りなどは結局データ漏えいから始まり、今では実際に家へ泥棒が入るよりデジタルアカウントを破られるほうが深刻な災厄だと強調している。物理的侵入なら911のような通報先や追跡手段が明確にあるが、デジタル侵害には連絡先もなく、解決のプロセスもほとんど存在しないとして、社会的対応が変わるべきだと訴えている
  • リニューアルデザインを非常に高く評価しつつ、Troyの更新を追うのも楽しいが、ときにブラックユーモアのような面白さを感じるという言及。タイムラインは最も古い漏えいから最近のものへ並んでいるように見えるが、日付表記が実際に漏えいした時点ではなく、漏えいが公表された時点を指しているようで混乱したという体験談。解決策として、並び順も表記も「公表日基準」で統一し、カード内では実際の漏えい日を基準となる形式で表示するほうが明確だという提案