Have I Been Pwned 2.0

 (troyhunt.com)
2 puan yazan GN⁺ 2025-05-20 | 1 yorum | WhatsApp'ta paylaş
  • Veri ihlali kontrol hizmeti Have I Been Pwned tamamen yenilenerek baştan tasarlandı
  • Yeni tasarımla birlikte ana web sayfalarının işlevleri kapsamlı biçimde değiştirildi ve iyileştirildi
  • Arama özelliği daha sezgisel hale geldi; hesap kontrol yöntemleri ve veri ihlali örneklerine yönelik rehber içerik güçlendirildi
  • Kullanıcı panosu, alan adı araması, API dokümantasyonu gibi çeşitli yeni ve iyileştirilmiş özellikler eklendi
  • Web performansı ve güvenliği modern bulut altyapısı üzerinde kurularak hızlı ve güvenli bir kullanıcı deneyimi sunuluyor

Giriş ve arka plan

  • Have I Been Pwned (kısaca HIBP) 2.0, uzun süren geliştirmenin ardından tamamen yeni haliyle yayına alındı
  • İlk commit Şubat 2023'te atıldı; Mart 2024'teki soft launch ve open source sürecinin ardından, tamamen yeniden inşa edilmiş ve yeni marka kimliği uygulanmış site açıldı
  • Sitenin genel yapısı ve işlevleri elden geçirildi; yeni özelliklerle birlikte merchandise mağazası da açıldı

Arama özelliği

  • HIBP'nin en bilinen özelliği olan ana sayfa arama kutusu, daha sezgisel bir deneyim ve taze bir sunumla (konfeti animasyonu) geliştirildi
  • Kullanıcı deneyimini bunaltıcı hale getirmemek için ağır ve olumsuz bir atmosferden kaçınıldı; odak, kullanıcılara olgulara dayalı pratik bilgiler sunmak oldu
  • Kullanıcı adı ve telefon numarası araması web sitesinden kaldırıldı (ancak API'de mevcut yaklaşım korunuyor)
    • E-posta adresi tabanlı arama; ayrıştırma, bildirimler ve hizmet tutarlılığı açısından daha uygun görülüyor
    • Telefon numarası ve kullanıcı adı, veri işleme yükü yüksek olduğu ve pratikte neredeyse hiç kullanılmadığı için karışıklığı azaltmak amacıyla çıkarıldı

Veri ihlali vaka sayfaları

  • Her ihlal için artık özel bir ayrıntı sayfası sunuluyor
  • Öncekine kıyasla daha sezgisel ve daha okunaklı yerleşimle, etki durumu ve alınabilecek önlemler gibi somut ve uygulanabilir kişiselleştirilmiş öneriler veriliyor
  • Diğer kurumlarla (ör. NCSC) iş birliği sayesinde bölgeye özel ek bilgilerin de eklenmesi planlanıyor
  • İleride 2FA, passkey gibi destek bilgileri ve kullanıcıya özel rehberler gibi ayrıntılar da eklenecek

Pano

  • Daha önce ayrı duran çeşitli işlevler (hassas ihlal kontrolü, alan adı yönetimi, abonelik yönetimi vb.) birleşik bir pano altında toplandı
  • Panoya e-posta doğrulamasıyla erişiliyor; ileride passkey gibi yeni kimlik doğrulama yöntemlerinin de eklenmesi planlanıyor
  • Aile hesabı bildirimleri gibi gelecekte genişletilebilecek bir platforma dönüşme potansiyeli sunuyor

Alan adı arama özelliği

  • Alan adı doğrulama/aramaa özelliği baştan tasarlanarak daha temiz bir arayüz ve çeşitli filtreler (ör. yalnızca en son ihlalleri gösterme) eklendi
  • Tam bir single-page app (SPA) yapısında çalışıyor; arama sonuçları API üzerinden JSON olarak hızlıca sunuluyor
  • Alan adı sahipliği doğrulama süreci de yeniden sadeleştirildi
  • E-posta dışındaki doğrulama yöntemleri için ayrıca iyileştirmeler planlanıyor

API

  • Bu güncellemede API'nin kendisinde hiçbir değişiklik veya kesinti yok
  • API dokümantasyonu için OpenAPI tabanlı Scalar aracına geçiş hazırlanıyor; ancak şu anda mevcut belgeler korunurken yeni görsel stile uyarlanmış durumda
  • İleride Scalar tabanlı güncel dokümantasyona geçilmesi planlanıyor

Merchandise ve sticker'lar

  • HIBP markalı resmi ürün mağazası açıldı; tişört gibi ürünlerin satışı başladı (Teespring tabanlı, kâr marjı yok)
  • Sticker'lar Sticker Mule mağazasında sunulmaya devam ediyor; artwork ise open source olarak serbestçe kullanılabiliyor

Teknoloji ve altyapı

  • Sitenin backend'i Microsoft Azure üzerinde çalışıyor; App Service, Functions, Hyperscale SQL, Storage vb. kullanılıyor
  • Ana web uygulamaları C# ve .NET 9.0 ile ASP.NET MVC (.NET Core) kullanılarak yazıldı
  • Cloudflare, WAF, cache, Turnstile (anti-bot), R2 storage gibi alanlarda etkin biçimde kullanılıyor
  • Frontend tarafında modern arayüz, güncel Bootstrap, SASS ve TypeScript temelinde oluşturuldu
  • İzlanda merkezli geliştirici Ingiber dahil çekirdek ekip üyelerinin katkılarıyla yüksek olgunlukta ve şık bir arayüz elde edildi
  • Web sayfası boyutu ve istek sayısı sırasıyla yaklaşık %28 ve %31 azaltılarak, 11 yıl öncesine göre daha verimli bir optimizasyon sağlandı
  • Takip, reklam verisi gibi gereksiz unsurlar tamamen dışarıda bırakıldı; kullanıcı gizliliğine öncelik verildi

Yapay zeka kullanımı

  • Bu site yeniden inşa sürecinde Chat GPT; CSS, ikon önerileri, Cloudflare ayarları, .NET Core'a özgü ayrıntılar gibi çeşitli geliştirme sorunlarını çözmek için aktif biçimde kullanıldı
  • Yapay zekanın hızlı önerileri ve kod otomasyonu sayesinde üretkenliğin ciddi ölçüde arttığı görüldü
  • Hızlı migration ve iş otomasyonu gibi alanlarda yüksek doğruluk ve fayda sağladığı doğrulandı

Geliştirme yolculuğu ve sonuç

  • Hukuki belgelerin güncellenmesi gibi görünmeyen pek çok iş, uzun zaman ve maliyet gerektirdi
  • Lansman öncesi ve sonrasında yapılan çok sayıda acil düzeltme ve tekrar tekrar yayınlanan sürümlerle sorunlar hızla çözüldü
  • Temel ilkelerden sapmadan; hizmet uzmanlığı, genişletilebilirlik ve kullanım rahatlığı korunarak yeniden başlangıç tamamlandı
  • HIBP, 2013'ten bu yana hayatının dörtte birini adanmış bir tutkunun ürünü; bu 2.0 sürümüyle topluluk hizmeti olarak yeni bir sıçrama bekleniyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-05-20
Hacker News görüşleri
  • Bir hukuk firmasıyla ortaklık kurup ihmal kaynaklı tüm veri sızıntıları için—yani fiilen neredeyse hepsi için—toplu dava açılması umudunu paylaştıktan sonra, ödeme bankacılığı hizmetleriyle entegre olup uzlaşma ödemeleri çıktığında milyonlarca kişiye doğrudan para gönderebilse, modern zamanların kahramanı olabileceği yönünde bir hayal paylaşılmış. Gerçekten kusurlu şirketlere can yakıcı kararlar çıkartabilecek avukatlarla çalışmanın önemli olduğu vurgulanıyor; sadece küçük çaplı uzlaşmaların sorumsuz yönetimi sürdürme riski taşıdığı uyarısı yapılıyor. İsteğe bağlı olarak, dava eşiğindeki verilerin yatırım şirketlerine satılabileceği de anılıyor. Nihayetinde, sadece veri sızıntısı haberiyle bile ilgili şirketin hisselerinin zarar görmesinin olağan sayıldığı bir toplumsal atmosfer oluşması isteniyor.
    • Uzlaşma ödemesi her gerçekleştiğinde küçük bir tutarın hemen iyi bir amaca bağışlanabilmesi, toplu davaya katılma isteğini artırabilir diye düşünülüyor.
    • Söz konusu bankacılık hizmeti için, böyle bir sistemde tutulan verilerin kendisinin yeniden ne kadar sürede sızacağı konusunda endişeli bir şaka yapılıyor.
    • Böyle bir sistemin ters etki yaratabileceği endişesi var. Şirketlerin sızıntıyı açıklaması zaten zorken, bu yapı yalnızca riski artırıp açıklamadan kaçınmayı çoğaltabilir deniyor. Kişi, bilgilerinin sızıp sızmadığını öğrenip şifresini değiştirmenin daha iyi olduğu görüşünde.
    • Kişisel bilgilerinin Google'a satılması yüzünden Blue Shield'dan tazminat alacağı günü hâlâ beklediğine dair bir serzenişle birlikte, böyle bir hizmeti kullanma isteği ifade ediliyor.
  • Sadece son 10 yıl içinde bile LinkedIn gibi dev bir sitenin saltsız şifre saklamış olmasının şaşırtıcı olduğu, günümüzde bunun nasıl mümkün olabildiğinin sorgulandığı belirtiliyor.
    • Bunun düşünülenden daha kolay, istemeden yaşanabileceği açıklanıyor. Bir ara katman açısından bakıldığında, JSON verisindeki password alanı sadece başka bir alan gibi görünebilir; API ya da loglama sistemi tüm istek gövdesini kaydederse gerçek sorun ortaya çıkabilir. Salt uygulanmamış şifreleri doğrudan parola deposuna yazmak nadir olsa da, örneğin bir Android uygulamasının API gateway katmanında şifre bulma benzeri bir akışın hassas bilgi olduğunun atlanması durumunda benzer bir problemin yaşanabileceğine dair deneyim paylaşılıyor.
    • Bu tür hataların, mühendislik mülakatlarında yeterince Leetcode Hard sorusu sorulmadığı için yaşandığına dair şakacı bir yorum yapılıyor.
    • İnsanlar çokça AI Slop'tan söz ediyor ama gerçekte uzun süredir Outsourced Slop sorunu da ciddi biçimde vardı deniyor. LinkedIn'deki sorunun ana nedeninin de dış kaynak geliştiricilerin ürettiği işler olma ihtimalinin yüksek olduğu, deneyime dayanarak dile getiriliyor. Güçlü ve yetkin yöneticiler kalite standardını belirleyip doğrulamadıkça, dışarıdan düzgün görünüp içi zayıf ürünlerden kaçınmanın zor olduğu savunuluyor.
    • Bu tür hataların, geçmişte kurulmuş eski legacy mainframe sistemleri gibi, kimsenin bakım veya migrasyona zaman ve bütçe ayıramadığı için kaderine terk edilmiş yapılardan kaynaklanıyor olabileceği söyleniyor. Şirket ne kadar büyükse kritik sistemlerdeki kemikleşmenin o kadar güçlü olduğu, yaklaşık 1 saatlik durmanın bile milyonlarca wonluk “kayıp” sayıldığı için bakımın daha da imkânsız hâle geldiği yapısal sorun eleştiriliyor.
  • Birçok sıradan kullanıcının Have I Been Pwned'i sık kullandığı ve 1Password'e yönlendirilmesinin de en iyi seçeneklerden biri olduğu düşünülüyor. 1Password ile yapılan promosyonun gerçekten çok iyi uyuşan bir işbirliği olduğu belirtiliyor. Banner metninin şiddetle tavsiye edilir gibi daha görünür bir ifadeyle değiştirilmesi öneriliyor. Sosyal hesap ele geçirmelerinin çoğunun parola tekrar kullanımından kaynaklandığı ve bu deneyimlerden hareketle güvenli parola kullanımı eğitimi ile parola yöneticilerine yönlendirmenin çok olumlu olduğu vurgulanıyor. Son 1 yılda 20'den fazla olayda fiilen sorun çözümüne yardım etmiş olma deneyimi paylaşılırken, yenileme için tebrik de iletiliyor.
  • Tüm veri sızıntısı kayıtlarını logo ve tanıtım metinleriyle birlikte dikey kaydırmalı biçimde göstermesi, ürkütücü ama etkileyici bir özellik olarak değerlendiriliyor.
    • Veri sızıntılarına bakarken çaresizlik hissedildiği ve kredi dondurma dışında yapılabilecek neredeyse hiçbir şey olmadığı yönünde karamsar bir yorum yapılıyor.
  • En çok veri sızıntısı kaydına sahip kişinin kim olduğu merak ediliyor. Ana e-posta adresinin şimdiye kadar 40 sızıntıda geçtiği, en eskisinin Haziran 2011'deki HackForums olduğu ve bunun bile hatırlanmadığı, en yenisinin ise Eylül 2024'teki FrenchCitizens olduğu ama Fransa ile hiçbir ilgisinin bulunmadığı deneyimi paylaşılıyor.
    • Bir başkası, bu rekoru 1 farkla geçtiğini söylüyor.
    • john@yahoo.com adresinin tam 322 sızıntıda yer aldığına dair şaşırtıcı bir kayıt paylaşılıyor.
  • Biraz daha fazla gizlilik isteyenler için, hizmet içinde e-posta arama sonuçlarını gizlemeye yarayan bir opt-out özelliği bulunduğuna dair ipucu veriliyor.
  • Birden fazla e-posta takma adı kullanıldığı için bunları tek tek aramanın mümkün olmadığı, bu yüzden alan adına göre toplu arama özelliğinin faydalı olacağı dile getiriliyor.
    • The Domain Search Feature bölümünün altında, alan adı sahipliğini doğruladıktan sonra sonuçların tek seferde görülebileceği yöntemi anlatılıyor.
  • Bunun gerçekten harika bir site olduğu söylenirken, devletlerin bu sorunu daha ciddiye alması gerektiği yönünde bir dilek de paylaşılıyor. Kimlik hırsızlığı ve hesap ele geçirme gibi sorunların sonuçta veri sızıntılarından başladığı, günümüzde dijital hesapların ele geçirilmesinin gerçek bir eve hırsız girmesinden daha ciddi bir felaket olduğu vurgulanıyor. Fiziksel izinsiz girişte 911 gibi aranacak yerler ve iz sürme süreçleri açıkça varken, dijital ihlalde ne başvurulacak bir muhatap ne de düzgün işleyen bir çözüm süreci olduğu söylenerek toplumsal yaklaşımın değişmesi çağrısı yapılıyor.
  • Yenilenen tasarım çok olumlu değerlendiriliyor ve Troy'un güncellemelerini takip etmenin keyifli olduğu, ama bazen bunun kara mizah gibi hissettiren tuhaf bir ilgi taşıdığı da belirtiliyor. Zaman çizelgesinin en eski sızıntıdan en yeniye sıralı göründüğü, ancak tarihlerin verinin sızdığı anı değil sızıntının kamuya açıklandığı zamanı gösteriyor olmasının kafa karıştırdığı anlatılıyor. Çözüm olarak hem sıralamanın hem de tarih etiketinin açıklanma tarihi esaslı olması, kart içinde ise gerçek sızıntı tarihinin standart bir formatla ayrıca belirtilmesinin daha net olacağı öneriliyor.