Have I Been Pwned? to serwis założony w 2013 roku przez eksperta ds. bezpieczeństwa Troya Hunta, który pełni funkcje dyrektora regionalnego Microsoftu, a także jest wielokrotnym zdobywcą tytułu MVP w dziedzinie bezpieczeństwa. Jego CV, a także osiągnięcia świadczą o tym, że mamy do czynienia z prawdziwym profesjonalistą, a nie tylko „zajawkowiczem” z pomysłem na ciekawą witrynę.
Najważniejsza funkcjonalność portalu to ogromna baza danych skompromitowanych haseł i loginów pochodząca ze znanych wycieków danych. Użytkownik może za darmo i bez rejestracji sprawdzić czy jego hasła lub maila nie ma na liście.
Najważniejszy cel strony to, tak jak pisze Troy „służba ludziom, którzy są świadomi zagrożeń i tego, że nigdy nic nie jest na sto procent bezpieczne w sieci”. Warto stale podkreślać, że wycieki danych, haseł czy loginów zdarzają się bardzo często i czasem nie są upubliczniane latami, a nasze hasła krążą w sieci.
Jak korzystać z Have I Been Pwned?
Zwykli użytkownicy mogą przesyłać swoje adresy e-mail do wyszukiwarki Have I Been Pwned, aby dowiedzieć się, czy zostali dotknięci wyciekiem i czy ich e-maile są powiązane z naruszeniem danych. Każdy z wycieków, w którym znaleziono wpisany mail zostanie wyświetlony z podstawowymi informacjami jak poniżej:
Analogiczną operację można przeprowadzić wpisując w wyszukiwarkę hasło, o którym chcemy się dowiedzieć, czy znajduje się na liście skompromitowanych haseł ze znanych wycieków. Jeśli hasło zostało gdzieś zauważone, również strona zaświeci nam się na czerwono i otrzymamy informacje w ilu wyciekach hasło znajdowało się na liście:
Oczywiście nie polecamy wpisywać tutaj swoich silnych i bezpiecznych haseł, które używamy do autoryzacji w banku czy skrzynce pocztowej. Tak naprawdę nie jesteśmy pewni, co dzieje się w tle i w jaki sposób porównywane są hasła.
Pełna lista darmowych funkcjonalności portalu Have I Been Pwned to:
- Sprawdzenie czy konto zarejestrowane na podany adres email zostało już kiedykolwiek skradzione i udostępnione publicznie. Jeśli tak, wyświetli się lista serwisów, na których do tego doszło.
- Możliwość sprawdzenia czy hasło, z którego korzystają klienci pojawiło się w dowolnym z wycieków.
- Możliwość uruchomienia powiadomień za każdym razem, gdy podany adres email pojawi się w nowym wycieku.
- Jeśli ze strony WWW klienta doszło do wycieku może on w serwisie uzyskać (po wcześniejszym uwiarygodnieniu przez twórcę strony) listę wszystkich adresów, które poszły w świat. Dzięki czemu będzie w stanie powiadomić swoich użytkowników o problemie.
- Możliwość pobrania słownikowej bazy skompromitowanych haseł i wykorzystania jako open-source.
- Serwis posiada także listę stron, z których dane dostały się w niepowołane ręce.
Have I Been Pwned będzie open-source
Niestety, projekt HIBP napotkał problemy finansowe. Rozrósł się do takich rozmiarów, że twórca nie jest w stanie sam go utrzymywać. Proces fuzji ze znanym dostawcą usług internetowych nie powiódł się, dlatego Hunt zdecydował się na alternatywę – otwarcie bazy kodu Have I Been Pwned na społeczność open-source.
W poście na swoim blogu powiedział, że Have I Been Pwned zawsze był projektem społecznościowym, a każdy zbiór danych był dostarczany przez innych użytkowników, a Cloudflare zapewnia mu darmowy hosting dla wielu usług wyszukiwarki. Troy Hunt twierdzi, że przechodząc na oprogramowanie typu open-source „odda je w ręce ludzi, którzy mogą pomóc w utrzymaniu usługi niezależnie od tego, co się ze mną stanie”.
Wiele osób uważa, że otwarcie kodu popularnego serwisu pozwoli na jeszcze większe zaufanie do jego działania, ponieważ użytkownicy sami będą mogli podejrzeć od środka jak działa wyszukiwarka oraz sami będą mogli ją poprawiać i zabezpieczać.
Nie można po prostu wrzucić kodu Have I Been Pwned na GitHub w jego obecnym stanie. Hunt współpracuje z młodymi talentami w systemach open-source i chmurowych, aby stopniowo otwierać bazę kodu, dlatego nie ma ustalonego harmonogramu, w którym platforma może przejść od stanu zamkniętego do otwartego.
„Często używałem słowa „społeczność” […] i nie mogę umniejszać znaczenia roli, jaką inni ludzie odegrali w sukcesie projektu – mówi Troy. „Wiem, że to […] spotka się z wielkim entuzjazmem, ponieważ wielu z was mówiło mi, abym to zrobił od dawna. Słuchając waszych próśb, teraz nadszedł czas, aby to urzeczywistnić”.
Podsumowanie
Platforma „Have I Been Pwned?” stała się rozpoznawalna i użyteczna na całym Świecie. Twórca tego projektu nie chce go porzucać, dlatego zdecydował się na kontrolowane otwarcie kodu dla społeczności. Przejście na oprogramowanie typu open-source również przyczyniłoby się do zwiększenia zaufania do serwisu poprzez przejrzystość kodu, a także potencjalnie poprawienie bezpieczeństwa platformy poprzez wykrywanie luk w zabezpieczeniach przez użytkowników. My jednak polecamy korzystanie z platformy z rozsądkiem, ponieważ nigdy nie wiemy kto siedzi po drugiej stronie, gdy wpisujemy swoje hasło w pasek wyszukiwania.