Have I Been Pwned'in On Yılı
- Have I Been Pwned, bir veri ihlali yaşandığında kullanıcının e-posta adresinin buna dahil olup olmadığını kontrol etmesini sağlayan bir hizmettir.
- Bu hizmet, 10 yıl boyunca kullanıcılara veri ihlali bilgileri sunarak internet güvenliğine katkıda bulundu.
- Kullanıcılar e-posta adreslerini girerek kişisel bilgilerinin sızdırıldığı bir olay olup olmadığını kontrol edebilir.
GN⁺ görüşü
- Have I Been Pwned hizmeti, kişisel gizlilik ve siber güvenlik açısından önemli bir rol oynar.
- Bu hizmet, kullanıcıların verilerinin risk altında olup olmadığını kolayca anlamasını sağlayarak güvenlik farkındalığını artırmaya katkıda bulunur.
- 10 yıl gibi uzun bir süre boyunca hizmetin istikrarlı şekilde sunulmuş olması özellikle ilgi çekicidir; bu da siber güvenlik alanındaki sürekli çabayı ve evrimi yansıtır.
1 yorum
Hacker News görüşleri
Troy Hunt, web uygulaması geliştiricileri için büyük bir değer. Credential stuffing'e karşı koruma önlemleri şart; özellikle iki faktörlü kimlik doğrulama en iyi savunma olsa da, Hunt'ın hash'lenmiş parola veritabanını kontrol etmek de kullanıcıdan ek işlem gerektirmeden oldukça etkili.
Çoğu hesap ihlalinin credential stuffing veya parola yeniden kullanımından kaynaklandığı tahmin ediliyor. Büyük şirketlerin bu tür kontrolleri yapmaması şaşırtıcı. Kurulumu basit ve bir gün yeterli.
Web uygulaması geliştiren erken aşama bir mühendis ya da CTO iseniz, credential stuffing saldırısıyla henüz karşılaşmamış olabilirsiniz ama er ya da geç mutlaka karşılaşırsınız. Saldırıya uğradığınızda gece boyunca müdahale etmek, veri ihlali bildirimi yapmak gibi zorluklar yaşanır.
Troy Hunt'ın ücretsiz veritabanını kullanmak bu zorlukları önleyebilir. Kullanımı tavsiye ediliyor.
Troy Hunt'ın boşanma hakkında somut bir açıklama yapıp yapmadığı soruluyor; mal paylaşımı ve mülkiyet kararları nedeniyle sürecin uzun ve masraflı geçmiş olabileceği tahmin ediliyor.
Sitenin eskiden harika bir deneyim sunduğu, ancak artık yılda 169,50 $ ödeyip 100 ihlal edilmiş hesabı kontrol ettirme gibi yollarla para kazanma aracına dönüştüğü hissediliyor.
Her web sitesi için veri ihlali tespiti amacıyla benzersiz e-posta adresleri kullanıldığı, ancak alan adı sonuçlarını aramaya çalışırken abonelik gerektiği hatasıyla karşılaşıldığı belirtiliyor.
Troy Hunt'ın herkese açık veri derlemelerini 'ihlal' kapsamına alarak ihlal edilmiş hesap sayısını yapay biçimde artırdığı eleştiriliyor. Yıllık yaklaşık 5-12 $ ücretin makul olacağı düşünülüyor.
haveibeenpwned.com'a benzer çeşitli alan adlarının ortaya çıkması, medyadaki görünürlüğün ilginç bir yan etkisi olarak değerlendiriliyor.
Troy Hunt'ın yazılarının çok öğretici olduğu düşünülüyor. k-anonimlik kullanarak parola göndermeden pwned dosyalarının nasıl kontrol edilebildiğine dair bir yazının okunup araştırıldığı ve bunun profesyonel projelerde uygulandığı deneyimi paylaşılıyor.
Hacker'ların pwned parola veritabanını kullanarak ikna edici phishing e-postaları oluşturduğu belirtiliyor. İnsanların bu dolandırıcılıklara gerçekten kanıp kanmadığı merak ediliyor. Çoğu spam filtresine takılıyor ama bazen filtreyi geçenler de oluyor. HIBP hizmetine ve Troy Hunt'ın yazılarına teşekkür ediliyor.
HaveIBeenPwned'nin kullanıcı farkındalığı üzerindeki etkisi vurgulanıyor.
SpyCloud'un daha büyük bir veri setine sahip olduğu ve şirketlerle doğrudan çalışarak credential reuse sorununu gerçekten azaltmaya katkı sağladığı, buna rağmen yeterince takdir görmediği düşünülüyor.
Son 10 yılda stalking mağdurlarının HaveIBeenPwned'yi kullanarak hesaplarının ve özel hayatlarının ihlal edilmiş olabileceğini fark etmiş olabilecekleri düşünülüyor.
Sitenin, kötü niyetli kişiler hizmeti kullanmadan önce kullanıcıların önce kaydolması ve arama sonuçlarında kendi bilgilerini gizlemesi gerektiği yönündeki tutumunu sürdürdüğü belirtiliyor.
Gizliliğe önem veren kişiler için HaveIBeenPwned'de kendi bilgilerini herkese açık aramalardan nasıl kaldırabileceklerine dair bir yöntem paylaşılıyor.
Troy Hunt'ın jet ski kullanıp özgürlüğün tadını çıkarmasına dair bir gönderme yer alıyor.