1 puan yazan GN⁺ 2023-12-05 | 1 yorum | WhatsApp'ta paylaş
  • Troy Hunt'ın 4 Aralık 2013'te yayına aldığı Have I Been Pwned(HIBP), e-posta üzerinden sızıntıya uğrayıp uğramadığını kontrol eden kişisel bir proje olarak başladı ve 10 yıl sonra bireylerin, şirketlerin ve hükümetlerin dayandığı bir güvenlik altyapısına dönüştü
  • Sıradan bir .com alan adı bulmak zordu ve bunun uzun ömürlü bir proje olacağı da düşünülmüyordu, ancak pwned kelimesi artık HIBP ile güçlü biçimde özdeşleşmiş durumda
  • Medya görünürlüğü, ABD Kongresi'nde verilen ifade, FBI ve Birleşik Krallık NCA gibi kolluk kuvvetleriyle iş birliği ve Pwned Passwords'ün yayına alınmasıyla HIBP'nin rolü basit bir arama sitesinin ötesine geçti
  • 2019'da satış değerlendirmesi için başlatılan Project Svalbard, kişisel stres ve hizmete aşırı bağımlılık sorunu içinde ilerledi ancak sonuçsuz kaldı; Hunt da bağımsızlığın kendisi için ne kadar önemli olduğunu yeniden gördü
  • Gelecekte de sızıntıların artmaya devam etmesi bekleniyor; HIBP daha resmileşmiş bir işletim modeline geçecek olsa da Hunt, istemediği kadar büyük bir organizasyona ve yüke dönüşmesinden kaçınmak istiyor

Küçük bir projeden 10 yıllık bir altyapıya

  • 4 Aralık 2013'te Troy Hunt, “Have I Been Pwned?”in çalışmaya başladığını duyuran bir tweet ile hizmeti yayına aldı
  • Ertesi gün, 154 milyon kaydı hızlıca aranabilir hale getiren yöntemi blogunda paylaştı; HIBP etiketi taşıyan yazıların sayısı 10. yıl yazısına gelindiğinde 185 oldu
    1. yıl değerlendirmesinde hizmetin nasıl kurulduğu, operasyonel kararlar, çeşitli ihlal olayları ve bugüne kadar kamuya açık şekilde anlatılmamış bazı deneyimler ele alınıyor

Neden “Pwned”?

  • İsim seçiminde, sıradan İngilizce adlarla .com alan adı bulmanın zor olması ve projenin uzun süre yaşayacağına dair beklentinin düşük olması etkiliydi
  • “pwned”, zamanla HIBP ile neredeyse eş anlamlı hale geldi ve birçok kişi bu kelimeyle ilk kez “Have I Been...” bağlamında karşılaştı
  • Çevrimiçi ortamda “pwned”in anlamını açıklayan kaynaklarda bile Hunt'ın 2013'te kurduğu HIBP örnek olarak yer alıyor
  • İsmin sık sık yanlış telaffuz edilmesi ya da yanlış yazılması nedeniyle Hunt çeşitli varyasyon alan adlarını da aldı
    • haveibeenpaened.com
    • haveibeenpwnded.com
    • haveibeenporned.com
    • haveibeenprawned.com
    • haveibeenburned.com
    • haveigotpwned.com
    • haveibeenrekt.com
    • haveibeenfucked.com

Medya görünürlüğü ve trafik şoku

  • HIBP, veri sızıntıları ana akım haberlere her taşındığında sık sık “etkilenip etkilenmediğinizi kontrol edeceğiniz yer” olarak anılıyor
  • Medya görünürlüğü bilinirliği artırdı, ancak 2016'da Birleşik Krallık'taki Martin Lewis Money Show yayınının ardından hizmeti çevrimdışı bırakacak kadar yoğun trafik yarattı
    • Hunt bu deneyimden büyük trafik sıçramalarını yönetmeye dair önemli dersler çıkardı ve bunun tekrar yaşanmaması için önlem aldı
  • 2018'de Gizmodo, HIBP'yi Wikipedia, Google ve Amazon gibi sitelerle birlikte “interneti şekillendiren 100 web sitesi” arasında gösterdi
  • 2014'te TIME, HIBP'yi yılın 50 web sitesi arasında seçti
  • The Wall Street Journal, The Standard, USA Today, Toronto Star, De Telegraaf, VG, Le Monde, Corriere della Sera gibi birçok büyük medya kuruluşunda da HIBP yer aldı

ABD Kongresi'nde ifade

  • Hunt yaklaşık 6 yıl önce ABD Congress'inde veri sızıntılarının kimlik doğrulama üzerindeki etkisi hakkında ifade verdi
  • Açık bir oturum olduğu için ifade videosu kayıt olarak kaldı
  • Milletvekillerinin sorularını yanıtladığı bu deneyim, Hunt'ın kariyerindeki en unutulmaz anlardan biri oldu
  • O döneme ait bir fotoğraf bugün ofisinin dışındaki duvarda asılı duruyor ve HIBP'nin onu nasıl o noktaya getirdiğini sürekli hatırlatıyor

Project Svalbard ve gerçekleşmeyen satış

  • Haziran 2019'da Hunt, HIBP'nin olası satışı fikrini Project Svalbard adıyla kamuya açıkladı
  • O dönemde kararın en büyük nedenlerinden biri stresti; bir yıldan uzun süre sonra da bu stresin önemli nedenlerinden birinin boşanma olduğunu anlattı
  • İlişki sorunları büyük baskı yaratmıştı ve Hunt, sevdiği ama giderek daha fazla talep yaratan projeyi satmanın bir çıkış yolu olabileceğini düşündü
  • Project Svalbard daha sonra eski eşiyle hukuki bir çekişmeye de dönüştü; satış gerçekleşseydi ortaya çıkacak değer bu anlaşmazlığın bir parçası haline geldi
  • San Francisco'daki çeşitli teknoloji şirketleriyle olası satın alma görüşmeleri sürerken, potansiyel yeni patronlardan biri “mükemmel bir ofis günü”nü sorduğunda Hunt bağımsızlığının kendisi için ne kadar önemli olduğunu fark etti
  • 6 ay sonra Project Svalbard, sonuçlanmış bir anlaşmanın bozulmasıyla sona erdi
    • Kesin ayrıntılar NDA nedeniyle paylaşılamıyor; kamuya açık kullanılan ifade “alıcı tarafın iş koşullarındaki değişiklik” oldu
    • Hunt geriye dönüp baktığında çok şey kaybettiğini düşünüyor ama sonucun böyle olmasından da son derece memnun

FBI, NCA ve kolluk kuvvetleriyle iş birliği

  • 10 yıl önceki Hunt için FBI'ın HIBP ile kamuya açık şekilde bağlantılı hale gelmesi beklenmedik bir durumdu
  • FBI, HIBP'ye veri sağlıyor; Birleşik Krallık NCA'si ve dünya çapındaki çeşitli kolluk kurumları da veri veriyor
  • Birçok ülke hükümeti de HIBP kullandığını kamuya açık şekilde konuşur hale geldi
  • ABC, Eylül 2023'te HIBP ve Hunt'ın rolünü “çağın tuhaf bir işareti” olarak ele aldı ve “webdeki tek bir kişinin” küresel siber güvenlikte garip biçimde merkezi bir rol üstlendiğini yazdı
  • HIBP'nin amacı “kötü bir şey olduktan sonra iyi bir şey yapmak” ve bu, insanları korumaya çalışan kolluk kuvvetlerinin amacıyla da örtüşüyor
  • Hunt, kolluk kuvvetlerinin insanları korumak için özel şirketlerle birlikte çalışmasının yaygın bir durum olduğunu 10 yıl önce anlamadığını, ancak şimdi birçok kurumla verimli ilişkiler yürüttüğünü söylüyor

Pwned Passwords'ün büyümesi

  • HIBP'ye başta parola ekleme planı yoktu; Hunt, kullanıcı adlarının yanında parolaların görünmesini önlemek gerektiğini düşünüyordu
  • Ancak kişisel verilerden ayrılmış sızdırılmış parola listesinin ihlal verilerini iyi amaçlarla kullanmanın bir yolu olabileceğine karar verdi
  • 2017'de Pwned Passwords yayına alındı
  • Eylül 2023'te Pwned Passwords günde 282 milyon istek gördü ve 30 günlük toplam istek sayısı 6 milyarı aştı
  • Değerlendirmenin yapıldığı sıradaki en güncel istatistiklere göre bir hafta boyunca günde 301,6 milyon istek işlendi ve bu isteklerin 100.0000000000%'i Cloudflare önbelleğinden sunuldu
  • Bu hizmet ücretsiz, kimlik doğrulama gerektirmiyor; kodun ve verinin tamamı açık kaynak, ayrıca FBI veri sağlıyor
  • Hunt, büyük ölçekli çevrimiçi hizmetlere yönelik credential stuffing saldırılarında ele geçirilen hesapların önemli bir kısmının önlenebilir parolalar kullandığını düşünüyor

İhlal verisi işlemenin paradoksu

  • HIBP, suçun ürünü olan sızıntı verilerini işlerken aynı anda kamu yararına hizmet etmeye çalışan bir hizmet olma paradoksunu taşıyor
  • Bazı kişiler çalıntı verileri elinde tuttuğu için onu FBI'a şikâyet edeceklerini söylüyor, ancak Hunt zaten FBI ile birlikte çalışıyor
  • Özellikle AB ve GDPR temelli gizlilik yasaları üzerinden “rıza olmadan veri işleniyor” eleştirileri de geldi
  • Hunt'a göre kimse zaten veri sızıntısının içine girmeye rıza göstermiyor; sızıntı olayının kendisi ile HIBP'nin bunu indeksleyip aranabilir hale getirmesi ayrı tartışmalar
  • 10 yıl boyunca şikâyetler genel olarak az oldu ve yıllık örnek sayısı bir elin parmaklarını geçmeyecek düzeyde kaldı
  • Devletin gizlilik düzenleyicileri üzerinden gelen resmi şikâyet ise 10 yılda yalnızca bir kez oldu ve Hunt soruları yanıtladıktan sonra konu kapandı

İnsanlar ve operasyon yapısı

  • HIBP ilk başta Hunt'ın kendi zamanını harcadığı bir hobi projesiydi
  • İlk dönem işlere hizmetin kurulması, ihlal verisinin temin edilmesi, doğrulanması, yayımlanması, açıklamaların yazılması ve 700'den fazla logonun bizzat düzenlenmesi dahildi
  • Bugün birçok bireyin, şirketin ve hükümetin bağımlı olduğu internetin önemli bir parçasına dönüşmesi, her şeyin tek başına Hunt'a bağlı olması sorununu büyüttü
  • 2019'daki satış değerlendirmesinin arka planında da kısmen “tek kişiye bağımlı yapı” vardı
  • Normal bir şirket gibi insan işe alıp büyümek de bir seçenekti, ancak Hunt işe alım sözleşmeleri, maaş pazarlıkları, performans değerlendirmeleri, hastalık izni ve yıllık izin gibi sorumlulukları cazip bulmuyor
  • Charlotte'un rolü

    • 2021'in başında, o sırada ileride eşi olacak Charlotte, HIBP'de çalışmaya başladı
    • Charlotte, Norveç merkezli NDC konferansında 8 yıl boyunca yazılım geliştiriciler, konuşmacılar, katılımcılar, sponsorlar ve kurumsal katılımcılarla çalışan bir proje yöneticisiydi
    • Teknik taraftan gelmiyor ama PR ve girişimcilik alanında dereceleri var ve HIBP'nin içinde bulunduğu teknoloji dünyasına da aşina
    • Charlotte; kurumsal abonelerin onboarding sürecini, API ve alan adı aboneleri için destek taleplerini, ayrıca muhasebe ve vergi işlerini yürütüyor
  • Stefán Jökull Sigurðarson'un rolü

    • 2023'ün başında Stefán Jökull Sigurðarson yarı zamanlı olarak katıldı ve kod yazımı, düzenleme, migrasyon gibi çeşitli geliştirme işlerini üstlendi
    • Stefán, HIBP'nin yayına girdiği günden beri hizmeti takip ediyor ve 2018'in başında EVE'de PwnedPasswords v2 API'nin ilk büyük entegrasyonlarından birini geliştirdi
    • Ona göre HIBP, açık konuşma kariyerinin, açık kaynak katkılarının, MVP rolünün ve daha güvenli bir internete katkı yolculuğunun bir parçası oldu
    • Hunt için Stefán'ın HIBP'yi yalnızca bir iş değil, bir tutku olarak görmesi önemli

Akılda kalan ihlal vakaları

  • 10 yıl boyunca HIBP'ye eklenen ihlallerin sayısı 731 oldu
  • Ashley Madison

  • Collection #1

    • 2019'un başında Hunt'ın stresini ciddi biçimde artırdı ve hizmetin satılmasını değerlendirme kararında büyük etkisi oldu
    • 773 milyon kayıt ile, değerlendirme anına kadar HIBP'deki en büyük ihlal olmayı sürdürüyor
  • Rosebutt

    • Ağır veri sızıntılarının bazen komik anlar da yaratabildiğini gösteren bir örnek
  • Shit Express

    • Anonim olarak dışkı parçası gönderilen bir sitenin ihlale uğramasıyla anonimliğin sarsıldığı bir örnek
    • Hunt daha sonra anonimlik iddialarının sık sık ne kadar yanıltıcı olabildiğini yazdı

Gelecekte yön

  • Hunt'ın günlük rutini, sabah e-postaları ve gece olan olayları kontrol edip ardından o gün ne gerekiyorsa ona göre hareket etmeye daha yakın
  • Bu çalışma biçimi, HIBP'nin daha büyük sorumluluklar taşıyan bir organizasyona dönüşmesini neden istemediğiyle de bağlantılı
  • Aynı zamanda HIBP giderek daha resmileşmiş bir yapıya geçiyor
    • 3 yıl önce Hunt her işi %100 kendisi yapıyordu
    • 1 yıl önce tüm teknik işleri kendisi yürütüyordu
    • 6 ay önce destek için bir ticket sistemi bile yoktu
  • Hunt, HIBP'nin kendisinden daha uzun ömürlü olmasını istiyor ama bunun kendi üstünde bağlayıcı bir yüke dönüşmesini istemiyor
  • Gelecekte daha fazla ihlal yaşanacağını düşünüyor; son dönemde özellikle fidye yazılımının çok hızlı arttığını hissettiğini söylüyor
  • Fidye yazılımı yoluyla yayımlanan e-postalar, belgeler ve çeşitli veriler içinde yer alan insanların maruz kaldıklarını fark edip etmediği ise açık bir soru olarak duruyor
  • Bu verileri indekslemek çeşitli nedenlerle kolay değil, ancak giderek daha değerli bir iş gibi görünüyor

1 yorum

 
GN⁺ 2023-12-05
Hacker News yorumları
  • Troy Hunt gerçekten çok değerli biri ve bir web uygulaması geliştiricisiyseniz credential stuffing savunması yapmamak için bahaneniz yok.
    En iyisi muhtemelen iki aşamalı doğrulamadır[1], ancak Hunt’ın hash’lenmiş parola veritabanıyla karşılaştırma yapmak da kullanıcıya ek yük bindirmeden oldukça iyi bir savunma sağlar.
    Elimde dayanak olacak veri yok ama ele geçirilmiş hesapların ezici çoğunluğunun credential stuffing veya parola yeniden kullanımından kaynaklandığını düşünüyorum. Büyük şirketlerin bu tür kontrolleri yapmadığını duymak şaşırtıcı; kurulumu da basit, yaklaşık bir günde yapılabilir.
    Genç bir CTO ya da erken dönem bir web uygulaması mühendisiyseniz, bir gün gece 1’de telefonların yağmur gibi çaldığı, sitenizin darbe aldığı, başta bunun DDoS olduğunu sandığınız, sonra trafiğin çoğunun giriş sayfasına yığıldığını fark ettiğiniz ve bunların bir kısmının gerçekten giriş yapmayı başardığını görüp irkildiğiniz bir an yaşayabilirsiniz. Sonrasında tüm gece müdahale etmek ve ihlal bildirimleri yapmak zorunda kalmak gerçekten berbat.
    Troy Hunt’ın ücretsiz veritabanı muhtemelen bu acıyı azaltır; o yüzden bunu yapmak en iyisi.

    1. https://cheatsheetseries.owasp.org/cheatsheets/Credential_St...
    2. 23andMe örneği. https://news.ycombinator.com/item?id=37794379
    • Yaklaşık 10 yıl önce bir FBI çalışanının konuşma yaptığı bir etkinlikte, bir sistem yöneticisinin şirketin hash’lenmiş parola veritabanını alıp bilinen sızdırılmış hash’lerle karşılaştırdığı, yeniden kullanılmış parola kullanan çalışanlara zorunlu sıfırlama ve bilgilendirme e-postası gönderdiği, ardından da tutuklandığına dair bir hikâye duymuştum.
      Bir çalışan bu davranışa mahremiyet ihlali diye öfkelenmişti; hukuki süreci kimin başlattığını hatırlamıyorum ama FBI çalışanı ve hâkimin vardığı sonuç, sistem yöneticisinin güvenliği iyileştirme niyeti olsa bile sorumluluğundaki parola hash’lerine erişmesinin başlı başına cezai nitelikte bir mahremiyet ihlali olduğu yönündeydi.
      Eğer o FBI çalışanı bunu uydurmadıysa, çalışan parola hash’lerinin haveibeenpwned’de olup olmadığını kontrol etmeden önce hukuk ekibi incelemesinden geçmek ihtiyatlı görünüyor.
    • İki aşamalı doğrulamaya ek olarak, giriş endpoint’ine IP adresi ve kullanıcı adı bazında hız sınırlaması koymak bu saldırıya karşı çok daha sağlam bir savunma olur.
      Örneğin son 1 dakika içinde aynı IP’den veya aynı kullanıcı adıyla 20 giriş hatası varsa, o IP’yi veya kullanıcı adını 15 dakika engellemek gibi. Birçok API gateway, K8s ingress vb. bunu çok kolay destekliyor; desteklemese bile son giriş denemesi sayılarını Redis gibi bir yerde tutarak birkaç satır kodla ekleyebilirsiniz.
      HIBP veritabanıyla karşılaştırma da iyi bir seçenek, ancak bu saldırıyı durdurmada hız sınırlaması çok daha etkilidir.
    • Süreci pek anlamıyorum. Veritabanında hash’lenmiş parolalar varsa, benim sitemle veritabanının aynı salt ve hash yöntemini kullandığını nasıl bilebiliriz?
      Örneğin Tumblr hack’lenip parolam hunter2 sızmış olsa bile, Tumblr salt kullanılan basit bir HMAC-MD5 kullanmışsa ve benim sitem doğal olarak farklı salt kullanan argon2 kullanıyorsa, aynı parola için bile sonuç hash farklı olacaktır. Bunun credential stuffing’i önlemede nasıl işe yaradığını anlayamıyorum.
    • Yeni bir giriş/kimlik doğrulama sistemini sıfırdan oluşturuyorsanız, parolayı alıp veritabanında saklamamanız daha iyi olur.
      Sosyal OAuth, SSO, magic link e-postaları ayarlayıp sorunu başkalarının problemi hâline getirmek daha iyi.
    • Kullanıcı parolasını 1234 yaptığında neden suçluluk hissetmemiz gerektiğini anlamıyorum.
      Savunmasız kişileri hedefleyen bir site değilse bunun kullanıcı sorumluluğu olduğunu düşünüyorum. Diğer yorumdaki gibi, bu tür kullanıcılar muhtemelen hatayı en kolay yoldan, 1234websitesiadi gibi bir şeyle çözecektir.
      Parola giriş alanına hangi kısıtı eklerseniz ekleyin entropiyi azaltır ve çok küçük de olsa herkesin güvenliğini düşürür diye düşünüyorum.
  • Bu sitenin eskiden harika bir deneyim sunduğunu hatırlıyorum, ama şimdi sızdırılmış 100 hesabı görmek için yıllık 169,50 $ ödemek gereken bir para kazanma aracına dönüşmüş gibi hissettiriyor.
    Veri sızıntılarını tespit etmek için her web sitesi için benzersiz e-posta adresi kullanıyorum; daha önce alan adı sahipliğini bile doğruladığım bir alan adının sonuçlarını aramaya çalışınca “10’dan fazla sızdırılmış hesabı olan alan adlarını aramak için yeterli büyüklükte bir abonelik gerekir” hatası aldım.
    Daha da kötüsü, Troy’un herkese açık veri koleksiyonlarını bile “sızıntı” olarak ekleyip hesap sayısı kotasını yapay biçimde şişirmesi. Örneğin GitHub’dan kazınmış herkese açık iletişim bilgilerinden oluşan bir koleksiyon sızdığında da bunu sızıntı saymıştı; oysa e-posta adresimi açıkça herkese açık tutmuştum.
    Böyle düşük maliyetli bir hizmet için yılda 5-12 dolar ödemeye razıyım, ama mevcut fiyat saçma derecede yüksek.

    • Aynı şeyi yaşadım ve bizim gibiler için ayrı bir fiyatlandırma olmasını isterdim. Belki sormaya değer.
    • DarkNet’ten veritabanını indirip yerelde çalıştırırsanız para ödemenize gerek kalmaz.
      Dezavantajı, veritabanını kendiniz yönetmek ve sık sık güncellemek zorunda olmanız. Ücret karşılığında API veritabanı erişimi satan bu tür para kazanma servislerinin epey çoğaldığını gördüm.
    • Kendi e-posta alan adını işletmek, her site için farklı adres kullanmak ve kişisel alan adındaki sızıntıları da taramak oldukça özel bir kullanım biçimi.
      Bu çok spesifik kullanım senaryosunu Troy Hunt için nakit ineği olarak görmek zorlama olur.
    • Ben de aynı yöntemi kullanıyorum ve uzun süredir neden sızıntı bildirimi almadığımı merak ediyordum.
      Bu değişiklikle ilgili bir bildirim gördüğümü hatırlamıyorum.
    • Bu da “her şey hizmet olarak” örneklerinden biri.
      Başta iyi bir hizmet olarak başlayıp kullanım arttığında özellikleri ödeme duvarının arkasına koyan ve ücretsiz hizmeti neredeyse işe yaramaz hâle getiren berbat bir freemium modeli. Facebook kötü olsa da bu kadar ileri gitmedi; “ücretsiz Facebook” yalnızca daha fazla izleme içerir hâle geldi, işlevleri ise 2010’daki kadar korunuyor.
  • haveibeenburned.com, haveigotpwned.com, haveibeenrekt.com ve PornHub’ın takip ettiği öğrenildikten sonra birinin önerdiği haveibeenfucked.com gibi varyasyonların ortaya çıkması, medyatik olmanın yan etkisi olarak epey komik

    • PornHub’ın blogunu hep sevmişimdir: https://www.pornhub.com/insights/
    • Son alan adı bir intikam pornosu deposu olarak ilginç olabilir ama birçok yargı alanında dağıtımı yasa dışı
      Bunun yerine intikam pornosunun yüz tanıma hash’i veritabanı oluşturulup, kişinin kendi yüzüne ait benzer hash’i yükleyerek çevrim içi bir yerde olup olmadığı kontrol edilebilir belki
    • Birkaç yıl önce eşi hamile olan arkadaş bir çift vardı; “herkes bizim ‘yaptığımızı’ öğrenecek” gerçeğinden gerçekten biraz utanıyorlardı
      Hayal bile edemediğim düzeyde bir mahcubiyetti
    • İnternet kuralının işlediğinin kanıtı. Var olan her şeyin porno versiyonu vardır
  • Hunt’ın bilgilendirici yazılarını gerçekten seviyorum
    Gerçek kişisel verileri göndermeden pwned dosyasıyla parolaları karşılaştırmak için k-anonimlik kullanımını okuduğumu hatırlıyorum; bu sayede kavramı araştırıp iş projelerinde de kullanmaya başladım
    Gerçek kişisel verileri göndermeden kontrol yapmayı anlatan yazıları okumasaydım nasıl yapardım diye bazen düşünüyorum

  • Şantaj dolandırıcıları pwned parola veritabanını kullanarak oldukça inandırıcı oltalama e-postaları hazırlıyor
    “Sistemine uzaktan erişim aracı kurdum ve web kamerandan seni izledim. Hacklendiğinin kanıtı bu parola. Bu adrese 1800 dolarlık BTC gönder ve polise gitme. Bir dahakine parola yöneticisi kullan” gibi. Bu tür dolandırıcılığa gerçekten kanan var mı merak ediyorum
    Çoğu spam filtresine takılır gibi geliyor; yalnızca SPF/DKIM filtresinden geçtiğinde gördüm ve ek eğitim verdim. Epey akıllıca görünüyor
    Hizmet için minnettarım ve Troy Hunt’ın yazılarını okumaktan da keyif alıyorum. HIBP harika

    • Ailemden biri o e-postanın gerçek olup olmadığından endişelenip aradı
      Eski bir parola değil, tam posta adresi ve kredi kartının son 4 hanesi vardı; gerçekten inanan insanlar var
    • Pwned Passwords sorgusu, hash ya da düz metin parola olmadan yalnızca sızıntı sayısını döndürür
      Tek başına bu özellik böyle bir saldırıyı mümkün kılmaz
    • Gerçekten tuzağa düşen oldu mu bilmiyorum ama kullanıcıların panikleyip doğrulatmak için BT ekibine koştuğunu duydum
      Ben de bu e-postalardan bir iki tane aldım; o epey zayıf parolayı hangi sitede kullandığıma dair hiçbir fikrim yoktu
    • Bir keresinde parolamın düz metin olarak yer aldığı bir e-posta aldım ve oldukça rahatsız oldum
      Hızlıca arayınca önem verdiğim yerlerde kullanmadığım bir parola olduğunu gördüm ve geçtim ama eski bir parola olduğunu bilmeme rağmen yine de içime sinmedi
      Parola yöneticisi kullanmasaydım o parolanın nerede kullanıldığını hemen kontrol edemeyip hafızamı zorlamak zorunda kalacaktım; bunun nasıl hissettireceğini hayal etmek zor
  • HaveIBeenPwned’ın kullanıcı farkındalığı üzerindeki etkisi kayda değer
    Öte yandan SpyCloud’un 30 kat daha büyük bir veri seti var ve şirketlerle doğrudan çalışarak parola yeniden kullanımını fiilen azaltıyor; yine de yeterince takdir görmediğini düşünüyorum
    Büyük bir web sitesine girişte parola sıfırlamanız istendiyse veya birden çok yerde kullanılan bir parola olduğu için değiştirmenizi isteyen bir e-posta aldıysanız, arkasında SpyCloud olma ihtimali yüksek

    • Kastedilen bu olmayabilir ama ifade, HIBP’nin şirketlerle doğrudan çalışarak parola yeniden kullanımını azaltmadığı anlamına geliyormuş gibi geliyor
      Aslında bunu yapıyor. Örneğin 1Password ve diğer parola yöneticileri, Firefox, FBI, Birleşik Krallık ve Avustralya hükümetleriyle iş birlikleri var
    • Milyonlara yardım eden ücretsiz bir hizmeti, herhangi bir kullanım için abonelik gerektiren bir şirketle karşılaştırmak aynı kulvarda bir karşılaştırma değil
      İkincisi çoğu insan için hiç faydalı değil
    • Troy’un ücretsiz pwned parola verilerini entegre ederek parola yeniden kullanımını gerçekten azaltan kişi sayısının, SpyCloud’un müşteri sayısından daha fazla olduğunu düşünüyorum
  • Gizliliğine önem veren biriyseniz, herkese açık aramadan bilgilerinizi kaldırmanın yolu burada
    https://haveibeenpwned.com/OptOut

    • E-postam hâlâ Collection #1 veya Anti Public Combo List gibi yerlerdeyse HIBP’den çıkarmanın pek faydası yok gibi görünüyor
      E-postayla kötü şeyler yapmak isteyen biri, toplama sitelerini kazımaktansa muhtemelen orijinal tam listeleri indirir
    • Alan adı düzeyinde hariç tutmayı da destekleyip desteklemediğini merak ediyorum
    • Ancak Google ReCaptcha çözmek gerektiği için gizliliğe hassas kişiler bundan hoşlanmayacaktır
      Not olarak, “e-posta adresinin ait olduğu alan adının yöneticisi, alan adı aramasında sizi hâlâ görebilir” deniyor
  • Son 10 yılda, kaç stalking mağdurunun failin hesaplarını ve özel hayatlarını bulup ihlal etmesi için kolay bir rehber araç olarak HaveIBeenPwned kullandığını öğrendiğini merak ediyorum.
    Elbette sitenin yaklaşımı, kötü niyetli bir aktör hizmeti kullanmadan önce mağdurun önceden kaydolup arama görünürlüğünü kapatması gerektiği yönünde.
    Yani e-posta doğrulamasından sonra göstermektense, adres girilir girilmez başka kullanıcılara “Bilgilerin dışarıda!” şokunu yaşatmak kullanıcı güvenliğinden daha önemliymiş gibi.

    • E-posta doğrulaması eklenirse hizmetin işletme maliyeti çok daha artar ve sürdürülebilir olmayabilir.
      Birinin e-posta adresine sahipseniz, o adresin nerelerde kullanıldığını öğrenmek için gerçekten HIBP’ye ihtiyaç var mı? Sadece Google bile zaten çok sonuç vermiyor mu?
    • Katılıyorum. Saldırgana ihtiyaç duyduğu bilginin %90’ını verirken mağdura hangi verilerin sızdığını söylemediği için daha da kötü.
      Hangi parolanın ele geçirildiğini anlayabilmek için hash’i görmek isterdim.
    • HIBP’nin nasıl kötüye kullanılabileceğini biraz daha açıklayabilir misiniz? Sadece e-postanın sızıntı listesinde olup olmadığını kontrol ediyor.
  • “Jet ski’ye binip ne yapmak istiyorsam onu yapıyorum” demek... Troy Hunt bir Mobius varyantı mı?

  • Boşanmanın ayrıntıları hakkında çok yazıp yazmadığını merak ediyorum.
    Uzun ve pahalı olmasının nedeni, varlıkların %50 bölünmesi ve kimin neye sahip olduğunun netleştirilmesi süreci miydi?