Have I Been Pwned?

Have I Been Pwned? (HIBP, sendo "Pwned" pronunciado em inglês como "poned",[1] geralmente associado à frase "have i been pwned") é um site que permite aos usuários da Internet verificar se seus dados pessoais foram comprometidos por violações de dados. O serviço coleta e analisa centenas de dumps de banco de dados e pastas contendo informações sobre bilhões de contas vazadas e permite que os usuários pesquisem suas próprias informações digitando seu nome de usuário ou endereço de e-mail. Os usuários também podem se inscrever para serem notificados se o endereço de e-mail aparecer em futuros despejos. O site foi amplamente divulgado como um recurso valioso para usuários da Internet que desejam proteger sua própria segurança e privacidade.[2][3] Have I Been Pwned? foi criado pelo especialista em segurança Troy Hunt em 4 de dezembro de 2013.

Have I Been Pwned
Have I Been Pwned?
Fundador(es) Troy Hunt
Lançamento 4 de dezembro de 2013; há 11 anos
Endereço eletrônico haveibeenpwned.com

Em junho de 2019, Have I Been Pwned? alcançou, em média, cerca de cento e sessenta mil visitantes diários, o site possui quase três milhões de assinantes de e-mail ativos e contém registros de quase oito bilhões de contas.[4]

Recursos

editar

A principal função de Have I Been Pwned? desde seu lançamento é oferecer ao público em geral um meio de verificar se suas informações privadas vazaram ou foram comprometidas. Os visitantes do site podem inserir um endereço de e-mail e ver uma lista de todas as violações de dados conhecidas com registros vinculados a esse endereço de e-mail. O site também fornece detalhes sobre cada violação de dados, como a história de fundo da violação e quais tipos específicos de dados foram incluídos nela.

Have I Been Pwned? também oferece um serviço que notifica assinantes sobre futuras violações. Após a inscrição no serviço de notificação via e-mail, o usuário receberá uma mensagem sempre que suas informações pessoais forem encontradas em uma nova violação de dados.

Em setembro de 2014, Hunt adicionou uma funcionalidade que permitia que novas violações de dados fossem automaticamente adicionadas ao banco de dados do HIBP. O novo recurso usou o Dump Monitor, um bot do Twitter que detecta e transmite prováveis despejos de senha encontrados em pastas pastebin, para adicionar automaticamente novas violações em potencial em tempo real. As violações de dados geralmente aparecem nas pastas antes de serem amplamente relatadas; portanto, o monitoramento dessa fonte permite que os consumidores sejam notificados mais cedo se tiverem sido comprometidos.[5]

Além de detalhar os eventos de violação de dados pelos quais a conta de e-mail foi afetada, o site também aponta aqueles que aparecem em suas pesquisas no banco de dados para instalar um gerenciador de senhas, o 1Password, que Troy Hunt recentemente endossou.[6] Uma explicação on-line em seu site[7] explica seus motivos e sustenta que o ganho monetário não é o objetivo dessa parceria.

Senhas "violadas"

editar

Em agosto de 2017, Hunt tornou público 306 milhões de senhas que podiam ser acessadas por meio de uma pesquisa online ou baixadas em massa.[8]

Em fevereiro de 2018, o cientista da computação britânico Junade Ali criou um protocolo de comunicação (usando anonimato k e hash criptográfico) verificar anonimamente se uma senha vazou sem revelar completamente a senha pesquisada.[9][10] Este protocolo foi implementado como uma API pública no serviço de Hunt e agora é consumido por vários sites e serviços, incluindo gerenciadores de senhas[11][12] e extensões de navegador.[13][14] Essa abordagem foi posteriormente replicada pelo recurso de verificação de senha da Google.[15][16][17] Ali trabalhou com acadêmicos da Universidade Cornell para analisar formalmente o protocolo para identificar limitações e desenvolver duas novas versões desse protocolo, conhecidas como Frequency Size Bucketization e Identifier Based Bucketization.[18] Em março de 2020, o preenchimento criptográfico foi adicionado a este protocolo.[19]

História

editar

Lançamento

editar
 
Troy Hunt, o criador de Have I Been Pwned?

No final de 2013, o especialista em segurança online Troy Hunt estava analisando violações de dados em busca de tendências e padrões. Ele percebeu que as violações poderiam impactar bastante os usuários que nem sabiam que seus dados estavam comprometidos e, como resultado, começou a desenvolver o HIBP. "Provavelmente, o principal catalisador foi a Adobe", disse Hunt, motivado por iniciar o site, referindo-se à violação de segurança da Adobe Systems que afetou 153 milhões de contas em outubro de 2013.

Hunt lançou Have I Been Pwned? em 4 de dezembro de 2013 com um anúncio em seu blog. No momento, o site tinha apenas cinco violações de dados indexadas: Adobe Systems, Stratfor, Gawker, Yahoo! Voices e Sony Pictures. No entanto, o site agora tinha a funcionalidade de adicionar facilmente violações futuras assim que foram publicadas:

Agora que tenho uma plataforma na qual construir, poderei integrar rapidamente violações futuras e torná-las rapidamente pesquisáveis por pessoas que possam ter sido afetadas. É um jogo um pouco injusto no momento – invasores e outros que desejam usar violações de dados para fins maliciosos podem obter e analisar os dados muito rapidamente, mas seu consumidor médio não tem uma maneira viável de extrair gigabytes de contas gzipadas de um torrent e descobrir se eles foram comprometidos ou não.

Violações de dados

editar

Desde o seu lançamento, o foco principal de desenvolvimento do HIBP foi adicionar novas violações de dados o mais rápido possível após o vazamento para o público.

Em julho de 2015, serviço de namoro online Ashley Madison, conhecido por incentivar os usuários tenham extraconjugais assuntos, sofreu uma violação de dados, e as identidades de mais de 30 milhões de usuários do serviço foram divulgados ao público. A violação de dados recebeu ampla cobertura da mídia, presumivelmente devido ao grande número de usuários impactados e à vergonha de ter um caso. Segundo Hunt, a publicidade da violação resultou em um aumento de 57.000% no tráfego para o HIBP.[20] Após essa violação, Hunt adicionou uma funcionalidade ao HIBP, na qual violações consideradas "sensíveis" não seriam pesquisáveis publicamente e seriam reveladas apenas aos assinantes do sistema de notificação por email. Essa funcionalidade foi ativada para os dados de Ashley Madison, bem como para dados de outros sites potencialmente escandalosos, como o Adult FriendFinder.

Em outubro de 2015, Hunt foi contatado por uma fonte anônima que forneceu a ele um dump de 13,5 milhões de endereços de e-mail e senhas de texto sem formatação dos usuários, alegando que vinha da 000webhost, um provedor de hospedagem gratuito. Trabalhando com Thomas Fox-Brewster, da Forbes, ele verificou que o despejo era provavelmente legítimo testando endereços de e-mail e confirmando informações confidenciais com vários clientes do 000webhost. Hunt e Fox-Brewster tentaram muitas vezes entrar em contato com 000webhost para confirmar ainda mais a autenticidade da violação, mas não conseguiram obter uma resposta. Em 29 de outubro de 2015, após a redefinição de todas as senhas e a publicação do artigo da Fox-Brewster sobre a violação, 000webhost anunciou a violação de dados por meio de sua página no Facebook.[21][22]

No início de novembro de 2015, duas violações dos provedores de pagamentos Neteller e Skrill foram confirmadas como legítimas pelo Paysafe Group, a controladora de ambos os provedores. Os dados incluíam 3,6 milhões de registros da Neteller obtidos em 2009 usando uma exploração no Joomla e 4,2 milhões de registros da Skrill (então conhecidos como Moneybookers) que vazaram em 2010 após o comprometimento de uma rede privada virtual. Os 7,8 milhões de registros combinados foram adicionados ao banco de dados do HIBP.[23]

No final daquele mês, a fabricante de brinquedos eletrônicos VTech foi invadida e uma fonte anônima forneceu privadamente um banco de dados contendo quase cinco milhões de registros dos pais ao HIBP. Segundo Hunt, essa foi a quarta maior violação de privacidade do consumidor até o momento.[24]

Em maio de 2016, uma série sem precedentes de violações de dados muito grandes, datadas de vários anos, foi lançada em um curto espaço de tempo. Essas violações incluíram 360 milhões de contas do Myspace a partir de 2009, 164 milhões de contas no LinkedIn a partir de 2012, 65 milhões de contas no Tumblr desde o início de 2013 e 40 milhões de contas no serviço de namoro adulto Fling.com. Esses conjuntos de dados foram colocados à venda por um hacker anônimo chamado "peace_of_mind" e foram fornecidos a Hunt logo depois para serem incluídos no HIBP.[25] Em junho de 2016, uma "mega violação" adicional de 171 milhões de contas da rede social russa VK foi adicionada ao banco de dados do HIBP.[26]

Em agosto de 2017, a BBC News apresentou Have I Been Pwned? na descoberta de Hunt de uma operação de spam que se baseia em uma lista de 711,5 milhões de endereços de e-mail.[27]

No meio de junho de 2019, Hunt anunciou planos de vender Have I Been Pwned? para uma organização ainda a ser determinada. Em seu blog, ele destacou seus desejos para reduzir o estresse pessoal e expandir o site além do que ele foi capaz de realizar.[4] Desde o lançamento da postagem no blog, ele estava trabalhando com a KPMG para encontrar empresas que julgasse adequadas e interessadas na aquisição. No entanto, em março de 2020, ele anunciou em seu blog que Have I Been Pwned? permaneceria independente no futuro próximo.[28]

Código aberto

editar

Em 7 de agosto de 2020, Hunt anunciou em seu blog sua intenção de abrir o código-fonte do Have I Been Pwned?.[29]

Branding

editar

O nome "Have I Been Pwned?" baseia-se no termo do jargão infantil "pwn", que significa "comprometer ou assumir o controle, especificamente de outro computador ou aplicativo".

O logotipo do HIBP inclui o texto ';--, que é uma string de ataque de injeção de SQL comum. Um hacker que tenta controlar o banco de dados de um site pode usar essa sequência de ataques para manipular um site para executar código malicioso. Os ataques de injeção são um dos vetores mais comuns pelos quais uma violação do banco de dados pode ocorrer; eles são a vulnerabilidade n.º 1 dos aplicativos web mais comuns na lista dos dez principais da OWASP.[30]

Referências

  1. Merriam-Webster: What Does 'Pwn' Mean? And how do you say it?
  2. Seltzer, Larry (5 de dezembro de 2013). "How to find out if your password has been stolen". ZDNet. Consultado em 18 de março de 2016.
  3. Price, Rob (20 de agosto de 2015). "HaveIBeenPwned.com lets you see if you're in the Ashley Madison hack leak". Business Insider. Consultado em 18 de março de 2016.
  4. a b «Project Svalbard: The Future of Have I Been Pwned». Troy Hunt (em inglês). 11 de junho de 2019. Consultado em 11 de junho de 2019 
  5. O'Neill, Patrick Howell (16 de setembro de 2014). "How to find out if you've been hacked in under a minute". The Daily Dot. Consultado em 20 de maio de 2016.
  6. «Finding Pwned Passwords with 1Password - AgileBits Blog». agilebits.com. 22 de fevereiro de 2018 
  7. «Have I Been Pwned is Now Partnering With 1Password». troyhunt.com. 29 de março de 2018 
  8. «Need a new password? Don't choose one of these 306 million». Engadget (em inglês). Consultado em 29 de maio de 2018 
  9. «Find out if your password has been pwned—without sending it to a server». Ars Technica (em inglês). Consultado em 24 de maio de 2018 
  10. «1Password bolts on a 'pwned password' check – TechCrunch». techcrunch.com (em inglês). Consultado em 24 de maio de 2018 
  11. «1Password Integrates With 'Pwned Passwords' to Check if Your Passwords Have Been Leaked Online» (em inglês). Consultado em 24 de maio de 2018 
  12. Conger, Kate. «1Password Helps You Find Out if Your Password Is Pwned». Gizmodo (em inglês). Consultado em 24 de maio de 2018 
  13. Condon, Stephanie. «Okta offers free multi-factor authentication with new product, One App | ZDNet». ZDNet (em inglês). Consultado em 24 de maio de 2018 
  14. Coren, Michael J. «The world's biggest database of hacked passwords is now a Chrome extension that checks yours automatically». Quartz (em inglês). Consultado em 24 de maio de 2018 
  15. Wagenseil I, Paul. «Google's New Chrome Extension Finds Your Hacked Passwords». www.laptopmag.com 
  16. «Google Launches Password Checkup Extension to Alert Users of Data Breaches». BleepingComputer (em inglês) 
  17. Dsouza, Melisha (6 de fevereiro de 2019). «Google's new Chrome extension 'Password CheckUp' checks if your username or password has been exposed to a third party breach». Packt Hub 
  18. Li. «Protocols for Checking Compromised Credentials». Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security: 1387–1403. Bibcode:2019arXiv190513737L. ISBN 978-1-4503-6747-9. arXiv:1905.13737 . doi:10.1145/3319535.3354229 
  19. Ali, Junade (4 de março de 2020). «Pwned Passwords Padding (ft. Lava Lamps and Workers)». The Cloudflare Blog (em inglês). Consultado em 12 de maio de 2020 
  20. Rash, Wayne (28 de maio de 2016). "How Troy Hunt Is Alerting Web Users Ensnared in Huge Data Breaches". eWeek. Consultado em 15 de junho de 2016.
  21. Fox-Brewster, Thomas (28 de outubro de 2015). "13 Million Passwords Appear To Have Leaked From This Free Web Host - UPDATED". Forbes. Consultado em 20 de maio de 2016.
  22. 000webhost (29 de outubro de 2015). "We have witnessed a database breach on our main server". Facebook. Consultado em 20 de maio de 2016.
  23. Fox-Brewster, Thomas (30 de novembro de 2015). "Gambling Darling Paysafe Confirms 7.8 Million Customers Hit In Epic Old Hacks". Forbes. Consultado em 20 de maio de 2016.
  24. Franceschi-Bicchierai, Lorenzo (27 de novembro de 2015). "One of the Largest Hacks Yet Exposes Data on Hundreds of Thousands of Kids". Vice. Consultado em 31 de março de 2016.
  25. Storm, Darlene (30 de maio de 2016). "Pwned: 65 million Tumblr accounts, 40 million from Fling, 360 million from MySpace". Computerworld. Consultado em 15 de junho de 2016.
  26. Whittaker, Zack (10 de junho de 2016). "More "mega breaches" to come, as rival hackers vie for sales". ZDNet. Consultado em 15 de junho de 2016.
  27. Kelion, Leo (30 de agosto de 2017). "Giant spambot scooped up 711 million email addresses". BBC News. Consultado em 30 de agosto de 2017.
  28. «Project Svalbard, Have I Been Pwned and its Ongoing Independence». Troy Hunt (em inglês). 3 de março de 2020. Consultado em 30 de abril de 2020 
  29. Hunt, Troy. «I'm Open Sourcing the Have I Been Pwned Code Base». Consultado em 8 de agosto de 2020 
  30. "Top 10 2013-Top 10". OWASP. Consultado em 20 de maio de 2016.

Ligações externas

editar
  NODES
INTERN 2
Project 2
twitter 1
USERS 2