Разное

Pwned что это: Pwned — Викиреальность

05.03.2003

Содержание

Pwned — Викиреальность

Pwned (You have been pwned!) — термин литспика, представляющий собой искажённое «owned» (читается так же, от английского «own» — «иметь, обладать» в нехорошем смысле этого слова). В большой степени характерен для речи геймеров. Фраза «You have been pwned» примерно соответствует русскому «Тебя отымели» и употребляется в значении либо ужасного, полного и безвозвратного уничтожения, либо мгновенного, бескровного и столь же полного овладевания, что нередко приводит к ярости пострадавшего.

[править] Происхождение

Мем относится к временам доисторическим — как считается, к некоей полулегендарной любительской карте для игры Warcraft, где гордое текстовое сообщение Player has been pwned выдавалось при задействовании определённого триггера. Впрочем, это могла быть и просто закрепившаяся опечатка — буквы «p» и «o» на клавиатуре рядом.

Более экзотическое предположение выводит глагол «to pwn» из английского «pawn» (шахматная пешка) и возводит мем к шахматам — якобы ситуация «You have been pawned» описывает исход игры, когда шах и мат ставится королю соперника пешкой.

Так ли это — не ясно, но проигравший соперник в таком случае явно и безусловно «pwned».

Возможно, что это сокращенное «pure owned» — «поимели вчистую».

Также возможно происхождение от того же английского «pawn», но в значении «залог» (в ломбарде). То есть, «you’ve been pawned» при желании можно перевести, как «тебя продали с потрохами». То есть, опять-таки поимели.

Истина, как всегда и буквы, где-то рядом.

Ещё в начале 1990-х мем употреблялся хакерами при получении контроля над чужим компьютером (сервером), при взломе/порче сайта и пр.

В конце 90-х начал употребляться в кругу геймеров. Фраза «I Own» также употреблялась как опечатка (намеренная или случайная) от «I Won» (я выиграл). Позже фраза «I Pwn» употреблялась как опечатка от «I Own».

Сейчас термин «owned» употребляется не только в виртуальном, но и реальном мире. Сопровождает большое поражение либо унижение, которое либо является смешным для наблюдателей, либо в котором проявляется доминирующая (побеждающая, унижающая) сторона. Близко по смыслу к «FAIL!» Как это читается?

Никак. Большая часть литспика вообще не предназначена к употреблению иначе как в текстовом виде. Есть мнения, что надо читать pwn как [pɔ:n] (то есть как pawn — пешка), [prɔ:n] (как pron prawn — креветка), [pwi:n], [pwəun], [pi:win], [pi:ɔn] и так далее. Однако чаще всего в обычной речи удобней просто заменить слово на «owned».

В русскоязычном игровом фэндоме более-менее ушатался вариант чтения «павнед»: «я тебя отпавнил/запавнил» (я тебя поимел), «ПАВНЕД, сука» (с пренебрежением), «я павнил, когда ты ламеров по локалкам гонял» (заткнись, нуб) и прочие негодующие илитарные школьные междометия.

Предполагается также прочтение «пвнэд!», с ударением на «п». И да, ударные согласные так же реальны, как безударное «ё».

Предшественники PBeM • Galaxy • Галаксиане
Основы Онлайн-игра • MMORPG • Браузерная игра • Геймеры • Игровой этикет
Производители Blizzard Entertainment • 1st Playable Productions • Ironuts • Valve • Wargaming (критика)
Российские и СНГ Аллоды Онлайн • Войны русов • Консулы • Годвилль • Амулет Дракона • fantlandiya.ru • Monopoly-one • My lands • Rage of Hero • World of Tanks • Stalker Online • 4Story Войны Королевств • Warface • Война • Копатель онлайн • Сказка • Троецарствие • Шарарам в Стране Смешариков
Зарубежные 2048 • World of Warcraft • Among Us • Asheron’s Call • Critical Strike Portable • DotA (Dota 2) • Diablo III • Empyrion — Galactic Survival • Farland • Kugeln.io • Lineage • Minecraft • Counter-Strike • Second Life • Skyrim • Team Fortress • X-COM (Unimod • Список прозвищ лунатиков) • The Elder Scrolls • Fallout • EVE Online • T.E.R.A. • Aion • Agar.io • Pokemon Go • StarCraft (жаргон, сюжет, DLC, тактики, троллинг, юниты)
Инциденты Взломы Battle.Net • Борьба с Company of Heroes 2 • Борьба с MMORPG • Ислам и MMORPG
Сайты SteamTwitch • Ag.ru • android-phones.ru • Arizona Games • clife.ru • droidbug.com • eAthena • Epic Games Store • FreeArena • GameGuru • Gamer.ru • GameReplays • gamezz.ru • GeoGuessr • Good Game • Hypixel • Huya • In4game • l2-top.ru • lis-skins.ru • Maxigame.by • Minecraft-on.ru • Mmorpg-shop.ru • Mod-games.ru • moigry.net • Multoigri.ru • myandroid-apk.com • Nexusmods • Origin • Paradox Wikis • Proevo.ru • Prosims • Romewar.ru • Sc2tv • Stopgame.ru • torrentigruha.ru • Twitch plays pokemon • VINEWOOD • wargaming.tech • whitegames.net • Игровой канал Вампир • Игропедия • Сайт виртуальных питомцев • Спортивные Точки • Хроники Мордрага • Эра-игр
Люди Dafran • Pomi • Майкер • R.G. Механики • Empire.ZERG • AtheneWins • GrayFiend • Pavellgamechannel • Евгеха • IKS Slon • Владислав Утка • Данил Ишутин • Дмитрий Михайлов • Егор Маркелов • Abver • Adolf_Ra • Brat_OK • DIMAGA • Geksagen • Hell Yeah! • LennyFirst • MinD ContRoL • Nameoliss • Twaryna • Masyaka • Prolike Chro • ZERGTV • Sneaky
Сообщества Игровой клан • Тридевятые кланы • Движение утят
Аналитика Военно-политическая игра • Зарабатывание денег • Читерство • StarCraft: в Корее, неспортивные аспекты, сервера RU и EU, спор о лучшей стороне
Мемы и жаргон 0 ход • KJIuHonucb • Meepo dance • Pwned • Ачивмент • Бомбящий школьник (в Minecraft) • Ганк • Гриферство • Дюп • Жаргон MMORPG • Жаргон МПМ • Качински и неизвестность • Кек • Летсплей • О, великий суп наварили • Пасхальное яйцо • ПОТРАЧЕНО • Распространённые выражения на Твиче (Осуждение) • Стример • Читер • Шевелись, Плотва • Школосервер
Модификации и разное GTA: Криминальная Россия • Playkey • SA-MP (сампер) • Blizzard vs. Games Workshop • Геймерское кресло • Мадарбург • Низкоуровневый контент • Игровая импотенция • FPVOD

Словарь молодежного сленга — pwned

Люди общающиеся на форумах и чатах часто встречают англоязычные сокращения и аббревиатуры, которые не в состоянии понять, например NP, DDOS, SFS, AKA и т. п. В этой статье мы поговорим о таком интересном сокращении, как «Pwned». Что значит Pwned перевод? Этот термин представляет собой искажённое » owned«, и переводится, как » обладать«, » иметь» при чём здесь именно с*ксуальный подтекст.

Данный мем появился в те времена, когда интернет только появился, его произносили, когда брался полный контроль над удалённым компьютером, а также при порче или взломе сайта и т. п.

Уже в конце 90-х годов этот термин стал использоваться среди геймеров. Например при победе игрок писал » I Own» (я поимел), на самом деле нужно было писать » I Won» (я победил), это была намеренная опечатка. Чуть позже выражение «I Own» исказили и стали писать «I Pwn».

Pwned это искажение от английского слова «owned», означает «отыметь»

  Пример:

  You have been pwned (Тебя поимели)

Это выражение используют в значении безвозвратного, полного уничтожения либо быстрого овладения, что порой вызывает нешуточную ярость. Например поляки в этом случае начинают строчить слово » Kurwa» с удивительной быстротой

В тех странах, где говорят на английском языке, фраза » I Pwn» стала употребляться в реальном мире. Произносится во время сильного унижения или поражения в чём-либо, которое считается забавным для людей со стороны. Кроме того «I Pwn» может произнести унижающая (доминирующая, побеждающая) сторона конфликта.

На самом деле, большая часть сокращений и аббревиатур вообще не предназначена для того, чтобы произносить их в слух. Как правило, термин «Pwn» произносят в жизни, как » Owned«. Это наиболее часто используемый вариант, остальные рассматривать здесь не будем.

В рунете слово «Pwned» произносят, как «павнед», «павнер», «повнер».

  Пример:

  Я павнил, когда ты ещё сиську у мамки сосал!

  Павнед ретард (с насмешкой)

  Я тебя запавнил/отпавнил (я тебя отымел)

Некоторые школьники произносят «Pwn», как » пвнэд» при чём ударение идёт на «П», в общем странное извращение над своим речевым аппаратом.

OWNED (PWNED). Доминируй, властвуй, унижай! Игровые мемы

Ускорение поиска в Have I Been Pwned до 49 микросекунд (С++) / Хабр

Я давно знал о сайте Have I Been Pwned (HIBP). Правда, до недавнего времени никогда там не был. Мне всегда хватало двух паролей. Один из них неоднократно использовался для мусорной почты и пары аккаунтов на странных сайтах. Но пришлось от него отказаться, потому что почту взломали. И, честно говоря, я благодарен хакеру, потому что это событие заставило меня пересмотреть свои пароли — то, как я их использую и храню.4541A1E4605EEBF3F4C166329C18502DF75D348A’ pwned-passwords-sha1-ordered-by-count-v5.txt

Результат: 33,35s user 23,39s system 41% cpu 2:15,35 total

Это печально. Ведь поскольку мою почту взломали, я хотел проверить наличие в базе всех своих старых и новых паролей. Но двухминутный grep просто не позволяет комфортно это сделать. Конечно, я мог бы написать скрипт, запустить его и пойти прогуляться, но это не выход. Я хотел найти лучшее решение и чему-то научиться.

Первой идеей было использовать структуру данных trie. Структура кажется идеальной для хранения хэшей SHA-1. Алфавит маленький, поэтому узлы тоже будут маленькими, как и результирующий файл. Может, он даже поместится в оперативной памяти? Поиск ключа должен происходить очень быстро.

Так что я реализовал эту структуру. Затем взял первые 1000000 хэшей исходной базы, чтобы построить результирующий файл и проверить, всё ли находится в созданном файле.

Да, я смог всё найти в файле, так что структура работала хорошо. Проблема оказалась в другом.

Результирующий файл вышел размером 2283686592B (2,2 ГБ). Это не очень хорошо. Давайте посчитаем и посмотрим, что происходит. Узел — это простая структура из шестнадцати 32-битных значений. Значения являются «указателями» на следующие узлы при заданном символе хэша SHA-1. Так, один узел занимает 16 * 4 байта = 64 байта. Вроде бы немного? Но если подумать, один узел представляет собой один символ в хэше. Таким образом, в худшем случае хэш SHA-1 займёт 40 * 64 байта = 2560 байт. Это намного хуже, например, текстового представления хэша, которое занимает всего 40 байт.

Преимущество структуры trie — в повторном использовании узлов. Если у вас два слова aaa и abb, то узел для первых символов используется повторно, поскольку символы одинаковые — a.

Вернёмся к нашей проблеме. Посчитаем, сколько узлов хранится в результирующем файле: file_size / node_size = 2283686592 / 64 = 35682603

Теперь посмотрим, сколько узлов будет создано в худшем случае из миллиона хэшей: 1000000 * 40 = 40000000

Таким образом, структура trie повторно использует только

40000000 - 35682603 = 4317397 узлов, что составляет 10,8% от наихудшего сценария.

С такими показателями результирующий файл для всей базы HIBP занял бы 1421513361920 байт (1,02 ТБ). У меня даже жёсткого диска не хватит, чтобы проверить скорость поиска ключей.

В тот день я узнал, что trie-структура не подходит для относительно случайных данных.

Поищем другое решение.

У хэшей SHA-1 две приятные черты: они сопоставимы между собой и все они одного размера.

Благодаря этому мы можем обработать исходную базу данных HIBP и создать файл из отсортированных значений SHA-1.

Но, как отсортировать файл 22 ГБ?

Вопрос. Зачем сортировать исходный файл? HIBP отдаёт файл со строками, уже отсортированными по хэшам.

Ответ. Я об этом просто не подумал. В тот момент я не знал о сортированном файле.

Сортировка

Сортировка всех хэшей в оперативной памяти — не вариант, у меня не так много оперативной памяти. Решение было таким:

  1. Разделить большой файл на меньшие, которые поместятся в RAM.
  2. Загружать данные из небольших файлов, сортировать в оперативной памяти и записывать обратно в файлы.
  3. Объединить все маленькие, отсортированные файлы в один большой.

С большим отсортированным файлом можно искать наш хэш с помощью двоичного поиска. Доступ к жёсткому диску имеет значение. Давайте посчитаем, сколько обращений требуется при двоичном поиске:

log2(555278657) = 29.0486367039

, то есть 30 обращений. Не так уж и плохо.

На первом этапе можно произвести оптимизацию. Преобразовать текстовые хэши в двоичные данные. Это сократит размер результирующих данных вдвое: с 22 до 11 ГБ. Отлично.

Зачем сливаться обратно?

В этот момент я понял, что можно поступить умнее. Что, если не объединять маленькие файлы в один большой, а проводить двоичный поиск в отсортированных маленьких файлах в оперативной памяти? Проблема в том, как найти нужный файл, в котором искать ключ. Решение очень простое. Новый подход:

  1. Создать 256 файлов с названиями «00»… «FF».
  2. При чтении хэшей из большого файла записывать хэши, которые начинаются с «00..», в файл с названием «00», хэши, которые начинаются с «01..» — в файл «01» и так далее.
  3. Загружать данные из небольших файлов, сортировать в оперативной памяти и записывать обратно в файлы.

Всё очень просто. Кроме того, появляется ещё один вариант оптимизации. Если хэш хранится в файле «00», то мы знаем, что он начинается с «00». Если хэш хранится в файле «F2», то он начинается с «F2». Таким образом, при записи хэшей в небольшие файлы мы можем опустить первый байт каждого хэша! Это 5% от всех данных. В общем объёме экономится 555 МБ.

Параллелизм

Разделение на файлы меньшего размера даёт ещё одну возможность для оптимизации. Файлы независимы друг от друга, поэтому мы можем сортировать их параллельно. Мы же помним, что все ваши процессоры любят потеть одновременно 😉

Когда я реализовал вышеописанное решение, то понял, что наверняка у других людей возникала подобная проблема. Вероятно, многие другие тоже скачивают базу HIBP и проводят поиск по ней. Поэтому я решил поделиться своей работой.

Перед этим я ещё раз пересмотрел свой подход и нашёл пару проблем, которые хотел бы исправить, прежде чем выкладывать код и инструменты на Github.

Во-первых, как конечный пользователь я не хотел бы использовать инструмент, который создаёт много странных файлов со странными именами, в которых непонятно что хранится и т. д.

Хорошо, это можно решить, объединив файлы «00»..»FF» в один большой файл.

К сожалению, наличие одного большого файла для сортировки порождает новую проблему. Что делать, если я хочу вставить хэш в этот файл? Всего один хэш. Это всего лишь 20 байт. О, хэш начинается с «000000000..». Ну, ладно. Давайте освободим для него место, переместив 11 ГБ других хэшей…

Вы поняли, в чём проблема. Вставка данных в середину файла — не самая быстрая операция.

Ещё один недостаток этого подхода в том, что нужно снова хранить первые байты — это 555 МБ данных.

И последнее, но не менее важное: двоичный поиск по данным, хранящимся на жёстком диске, намного медленнее, чем обращения к оперативной памяти. Я имею в виду, что это 30 операций чтения с диска против 0 операций чтения с диска.

Ещё раз. Что у нас есть и чего мы хотим достичь.

У нас 11 ГБ двоичных значений. Все значения сопоставимы и имеют одинаковый размер. Мы хотим найти, присутствует ли конкретный ключ в сохранённых данных, а также хотим изменять базу. И чтобы всё работало быстро.

B-дерево? Точно.

B-дерево позволяет минимизировать доступ к диску при поиске, модификации и т. д. У него гораздо больше возможностей, но нам нужны эти две.

Сортировка вставками

Первый шаг — преобразование данных из исходного файла HIBP в B-дерево. Это означает, что нужно извлечь все хэши по очереди и вставить в структуру. Для этого подходит обычный алгоритм вставки. Но в нашем случае можно сделать и лучше.

Вставка большого количества исходных данных в B-дерево — хорошо известный сценарий. Мудрые люди изобрели для этого подход получше, чем обычную вставку. Прежде всего, нужно отсортировать данные. Это можно сделать как описано выше (разделить файл на более мелкие и отсортировать их в оперативной памяти). Затем вставить данные в дерево.

В обычном алгоритме, если вы находите концевой узел (leaf node), куда нужно вставить значение, и он заполнен, то вы создаёте новый узел (справа) и равномерно распределяете значения по двум узлам, левому и правому (плюс одно значение переходит к родительскому узлу, но здесь это не важно). Если вкратце, то значения в левом узле всегда меньше, чем значения в правом. Дело в том, что когда вы вставляете отсортированные данные, вы знаете, что в дерево больше не будут вставляться меньшие значения, поэтому больше никакие значения не пойдут в левый узел. Левый узел всё время остаётся полупустым. Более того, если вы вставите достаточно значений, вы можете обнаружить, что правый узел заполнен, поэтому нужно переместить половину значений в новый правый узел. Разделяющийся узел остаётся полупустым, как и в предыдущем случае. И так далее…

В результате после всех вставок вы получите дерево, в котором почти все узлы полупусты. Это не слишком эффективное использование пространства. Мы можем сделать лучше.

Разделять или нет?

В случае вставки отсортированных данных можно произвести небольшую модификацию алгоритма вставки. Если узел, в который нужно вставить значение, заполнен, не разбивайте его. Просто создайте новый, пустой узел и вставьте значение в родительский узел. Затем, когда вставляете следующие значения (которые больше, чем предыдущие), вы вставляете их в свежий, пустой узел.

Чтобы сохранить свойства B-дерева, после всех вставок необходимо перебрать самые правые узлы в каждом слое дерева (кроме корневого) и равномерно разделить значения этого крайнего узла и его левого соседа. Так вы получите минимально возможное дерево.

Свойства дерева HIBP

При проектировании B-дерева нужно выбрать его порядок. Он показывает, сколько значений можно хранить в одном узле, а также сколько дочерних элементов может иметь узел. Манипулируя этим параметром, мы можем манипулировать высотой дерева, двоичным размером узла и т.hash’ | 135’350’000 | 276’224’489 | | grep | 135’480’000 | 276’489’795 | | C++ line by line | 135’720’201 | 276’980’002 |

Как я уже говорил, хотелось поделиться своей работой с миром. Я реализовал библиотеку и интерфейс командной строки для обработки базы HIBP и быстрого поиска хэшей. Поиск настолько быстр, что его можно, например, интегрировать в менеджер паролей и давать обратную связь пользователю при каждом нажатии клавиши. Существует множество возможных вариантов использования.

У библиотеки интерфейс C, поэтому её можно использовать практически везде. CLI это CLI. Можете просто собрать и запустить (:

Код лежит в моём репозитории.

Дисклеймер: okon пока не предоставляет интерфейс для вставки значений в созданное B-дерево. Он может только обработать файл HIBP, создать B-дерево и искать в нем. Эти функции вполне работают, поэтому я решил поделиться кодом и продолжить работу над вставкой и другими возможными функциями.



(:

Что означает PWNED и почему это важно

Ты же не хочешь получить ПОБЕДИТЕЛЬ, верно? Хотя этот термин впервые появился в Warcraft, теперь он имеет более конкретное значение. И это не хорошо.

От слова «принадлежащий», «ЗАПРЕЩЕНО»- термин, впервые нашедший значение в культуре видеоигр. В последние несколько лет, быть ПОЛУЧЕННЫМ скорее всего, означает, что некоторые из ваших личных данных в Интернете были скомпрометированы. Вот подробный обзор этого термина и его значения для ваших онлайн-путешествий.

Что такое PWNED?

Согласно с Словарь городского сленга, PWNED — это искаженное слово «принадлежащий» и был первым в онлайн-игре Warcraft. Это произошло из-за того, что дизайнер карты неправильно написал слово «принадлежащий». В этом случае, когда компьютер обыгрывает кого-то из пришедших, «то-то и-то» уже принадлежит.

В последнее время вы, возможно, слышали термин для веб-сайта, Меня уговорили? или «HIBP». Он служит отличным ресурсом для онлайн-пользователей, чтобы проверить, не нарушены ли личные данные в результате утечки данных. Кроме того, посетители могут подписаться на свою электронную почту, чтобы получать уведомления о новых нарушениях.

HIBP анализирует утечки данных на предмет тенденций и закономерностей. Посетители сайта могут бесплатно проверить, является ли их адрес электронной почты или номер телефона частью текущего или исторического нарушения. Если это так, вы увидите список того, какие данные были скомпрометированы.

Помимо электронной почты и номеров телефонов, это может включать даты рождения, пол, географическое положение, IP-адреса, имена, пароли, профили в социальных сетях, URL-адреса веб-сайтов пользователей, имена пользователей и многое другое.

HIBP также указывает дату нарушения, когда он был добавлен на сайт, и количество учетных записей, скомпрометированных для каждого нарушения данных.

Дополнительная информация

Помимо веб-сайта, HIBP также имеет активную Аккаунт в Твиттере которые сайт использует для оповещения общественности о новых нарушениях.

Новое нарушение: в июне прошлого года у OrderSnapp было взломано 1,3 миллиона уникальных адресов электронной почты. Данные также включали имена, номера телефонов, DoB и хэши паролей bcrypt. 84% уже были в @haveibeenpwned. Прочитайте больше: https://t.co/bDsnDxTksa

— Меня поймали (@haveibeenpwned) 8 августа 2021 г.

Из-за своего происхождения аббревиатура PWNED не является эксклюзивной для HIBP. Этот термин до сих пор часто используется в социальных сетях, как показывают следующие примеры:

Чувак, меня действительно накинули на стенд национальной метеорологической службы, когда я написал это в Твиттере. https://t.co/oebR8Fd2KF

— Кейси Штрубе (@Strubekm) 13 августа 2021 г.

До сих пор не могу поверить, что меня так полностью обманули раньше. К этому просто нет возврата. pic.twitter.com/pwpoVSZQQD

— Дункан Хотерсалл🌹 (@dhothersall) 13 августа 2021 г.

Продолжайте возвращаться по мере добавления новых.

Поделиться ссылкой:

Агрегатор утечек Have I Been Pwned открывает исходный код — «Хакер»

Основатель сервиса Have I Been Pwned? (HIBP) Трой Хант объявил, что после ряда неудачных попыток продажи проекта, о которых он рассказывал весной текущего года, он решил открыть его исходный код.

Напомню, что HIBP, основанный в 2013 году, представляет собой сервис по проверке учетных данных на предмет их компрометации. Собирая информацию о различных утечках данных, Трой Хант создал уникальную базу, услугами и API которой в настоящее время пользуются многие сайты и ПО (включая Firefox и LastPass), чтобы своевременно уведомлять своих клиентов о возможной компрометации.

Хант пишет, что за прошедшие годы он вложил в проект множество сил, времени и ресурсов, но продолжать развивать HIBP самостоятельно и дальше он уже не может. По его словам, вклад сообщества в развитие Have I Been Pwned всегда был немалым, а в последнее время он только увеличивается.

«Каждый байт данных, загруженных в систему за последние годы, был бесплатно предоставлен кем-то, кто решил улучшить ландшафт безопасности для всех нас, — пишет Трой Хант. — Философия HIBP всегда заключалась в том, чтобы поддерживать сообщество, а теперь я хочу, чтобы сообщество поддержало HIBP. Открытие исходных кодов — наиболее очевидный способ сделать это. Все основные элементы HIBP будут переданы в руки людей, которые смогут помочь поддерживать сервис, невзирая на то, что происходит со мной».

Процесс перехода к опенсорсной модели обещает быть не самым легким, поэтому Хант сообщает, что это займет некоторое время, и пока не называет никаких конкретных сроков.

«Кроме того, еще существует аспект конфиденциальности: среди этих утечек есть мои личные данные, и наверняка ваши тоже, потому от утечек данных уже пострадали миллиарды людей. Независимо от того, как широко циркулирует эта информация, я все равно должен обеспечить контроль конфиденциальности для самих данных об утечках, даже если кодовая база проекта станет более прозрачной», — резюмирует эксперт.

ФБР будет передавать скомпрометированные пароли сервису Have I Been Pwned — «Хакер»

Трой Хант,  создатель и оператор известного агрегатора утечек Have I Been Pwned (HIBP) сообщает, что отныне ФБР будет напрямую загружать скомпрометированные пароли в базу сервиса, которая уже содержит более 613 000 000 паролей.

Так, если ФБР обнаруживает во время своих расследований скомпрометированные пароли, они загружаются в раздел Pwned Passwords. Правоохранители буду предоставлять пароли в виде хэшей SHA-1 и NTLM, а не открытым текстом. То есть личные данные пользователей никто видеть не будет.

Если основной сайт HIBP позволяет пользователям проверить, попадала ли их электронная почта, имя или username в какие-либо утечки данных, меньший раздел Pwned Passwords сообщает именно о компрометации паролей, причем без привязки пароля к какой-либо информации о пользователе.

Хотя большинству людей  сайт HIBP знаком именно благодаря поиску по утекшим данных, раздел Pwned Passwords оказался даже более полезным и функциональным. Дело в том, что компонент Pwned Passwords, доступен как простой поиск, API и загружаемая БД. Он интегрирован в тысячи общедоступных и частных приложений, где используется для выявления слабых или ранее скомпрометированных паролей, и в случае обнаружения проблемы пользователя простят изменить учетные данные. К примеру, в настоящее время 17 стран мира применяют Pwned Passwords для проверки паролей госслужащих.

Однако до недавнего времени данные для Pwned Passwords Ханту предоставляли только ИБ-исследователи и анонимные информаторы. Теперь ФБР стало первым официальным источником, передающим данные для этого раздела HIBP.

Одновременно с заключением партнерства с ФБР Хант объявил и об открытии исходного кода Pwned Passwords. В своем блоге Хант пишет, что это чистое совпадение, и ФБР не требовало, чтобы он открывал исходники (эксперт планировал это с августа прошлого года). Теперь исходные коды доступны на GitHub и будут переданы  .NET Foundation. Хант обещает, что исходники основной части Have I Been Pwned тоже будут открыты в скором будущем, как он и планировал.

Фото: Трой Хант 

СДЕЛАТЬ БОЛЬШЕ: Что такое «Pwned» означает и как правильно его использовать

«Pwned» — это глагол, обычно используемый как злорадное выражение господства, контроля или победы. Этот особый термин используется чаще всего в видеоиграх, хотя он нашел свой путь в автономном режиме. Когда вы pwned, вы были побеждены оппонентом, часто в унизительной форме. Он также несет коннотации о большой неудаче на стороне проигравшего.

Происхождение «to pwn» неопределенно, но, скорее всего, оно возникло из употребления сленга «принадлежащего», имеющего эквивалентный смысл. Pwned, вероятно, обязан своим этимологическим генезисом ошибкам с клавиатурой, в которых «p» был опечатан на клавиатуре QWERTY вместо смежных «o», вероятно, из-за поспешности или волнения. Используемый как существительное, «pwnage» — это опыт того, чтобы быть (или причинять кому-то быть) побежденным, или терпеть неудачу глубоко.

Примеры использования

Вот несколько способов использования «pwned» в не-интернет-контексте:

  • «Мы записали другую баскетбольную команду!»
  • «О, мужик, я сегодня полностью занят инструктором по аэробике в классе. Это было грубо!»
  • «Pwnage! Я получил экзамен A!»
  • «Этот скоростной генератор был полностью оторван от этого радар-ловушки!»
  • «Капитан Америка в первый раз заглянул в« Железного человека ».
  • «Твой аргумент не имел никакого смысла, она полностью тебя обманула».

С сегодняшними MMO (многопользовательскими онлайн-играми) термин «pwned» стал способом злорадствовать в победе над другим игроком. И наоборот, «pwned» это выразительный способ сказать, что вы были побеждены другим игроком:

  • «Меня зацепили эти три ордынца, они плохо оторвали меня».
  • «Это был полный пунтаж! Мы раздавили этого монстра-босса!»

Другое происхождение «Pwned»

«Pwned» также объясняется ошибкой в ​​онлайн-игре «Warcraft», в которой слово «принадлежит» было написано с ошибкой на карте, поэтому следует, что он обычно произносится как «позоленный». Вы также можете услышать, что оно произносится как «заложенное», «принадлежащее кому-то» или «составленное», но это менее распространенные способы сказать это.

Этот термин также мог возникнуть еще в 1960-х годах, когда программисты MIT-шахматисты называли себя шахматами, такими как короли и пешки, которые близки к «pwn». В 1980-х годах хакеры использовали слово «собственный», описать акт успешного взлома и управления сервером или другим компьютером. Другая история происхождения «pwn» заключается в том, что она следует за «p» трендом в других связанных с технологией словах, таких как фишинг и фрикционирование.

Это еще один пример цифровой культуры, распространяющейся на повседневную жизнь. Выразительные техно термины все чаще встречаются в повседневной беседе. Теперь, когда вы знаете, как его использовать, вы можете точно нарисовать другие.

Меня обманули: часто задаваемые вопросы

Что означает «pwned»?

Слово «pwned» берет свое начало в культуре видеоигр и является буквальным выражением. происхождение слова «принадлежит» из-за близости «о» и клавиши «р». Обычно используется для обозначения того, что кто-то находится под контролем или скомпрометирован, например «Меня взломали из-за утечки данных Adobe». Подробнее о как слово «pwned» превратилось из хакерского сленга в любимую насмешку в Интернете.


Что такое «взлом» и откуда взялись данные?

«Нарушение» — это инцидент, когда данные непреднамеренно раскрываются в уязвимом системы, как правило, из-за недостаточного контроля доступа или недостатков безопасности в программном обеспечении.HIBP собирает данные об утечках и позволяет людям оценить, где были их личные данные. незащищенный.


Сохраняются ли на этом сайте пароли пользователей?

Когда адреса электронной почты из утечки данных загружаются на сайт, соответствующие пароли отсутствуют. загружены ими. Отдельно от функции поиска адреса Pwned, Pwned Passwords сервис позволяет проверить, не встречался ли ранее индивидуальный пароль в базе данных нарушение. Никакой пароль не хранится рядом с какими-либо персональными данными (например, электронной почтой). адрес), и каждый пароль хэшируется SHA-1 (прочитайте, почему был выбран SHA-1, в сообщении блога о запуске Pwned Passwords.)


Могу ли я отправлять пользователям открытые пароли?

Нет. Любая возможность отправлять пароли людям подвергает и их, и меня большему риску. Этот тема подробно обсуждается в сообщении блога по всем причинам, по которым я не делаю пароли доступными через эту службу.


Доступен ли список всех адресов электронной почты или имен пользователей?

Средство публичного поиска не может вернуть ничего, кроме результатов для одного предоставленный пользователем адрес электронной почты или имя пользователя за раз.Несколько взломанных учетных записей могут быть извлекается функцией поиска домена, но только после успешная проверка того, что лицо, выполняющее поиск, имеет право доступа к активам на домене.


Как насчет нарушений, когда пароли не утекают?

Иногда в систему будет добавлена ​​брешь, которая не включает учетные данные для Интернет Сервис. Это может произойти при утечке данных о человеке, и это может не включать имя пользователя и пароль.Однако эти данные по-прежнему влияют на конфиденциальность; это данные что пострадавшие не будут разумно ожидать публичного освобождения, и поэтому они личная заинтересованность в том, чтобы иметь возможность быть уведомленным об этом.


Как проверяется правомерность нарушения?

Злоумышленники часто сообщают о «нарушениях», которые, в свою очередь, разоблачаются как розыгрыши. Существует баланс между обеспечением возможности поиска данных на раннем этапе и выполнением достаточных должных приложить усилия для установления законности нарушения.Следующие виды деятельности обычно для проверки правомерности нарушения:

  1. Затронутая служба публично признала нарушение?
  2. Появляются ли данные об утечке в поиске Google (т. е. они просто скопированы из другого источника)?
  3. Соответствует ли структура данных тому, что вы ожидаете увидеть при взломе?
  4. Предоставили ли злоумышленники достаточно доказательств, чтобы продемонстрировать вектор атаки?
  5. Есть ли у злоумышленников опыт надежного раскрытия брешей или их фальсификации?

Что такое «паста» и почему она размещена на этом сайте?

«Вставка» — это информация, которая была «вставлена» в общедоступный веб-сайт, предназначенный для обмена контентом, таким как Pastebin.Эти услуги пользуются популярностью у хакеров из-за простоты анонимного обмена информацией и они часто являются первым местом, где появляется нарушение.

HIBP ищет среди вставок, которые транслируются учетными записями в списке источников вставок в Твиттере. и сообщается, что у него есть электронные письма, которые могут указывать на нарушение. Поиск электронной почты адрес в пасте не сразу означает, что он был раскрыт в результате нарушение. Просмотрите вставку и определите, была ли ваша учетная запись скомпрометирована, затем примите соответствующие действия, такие как смена паролей.


Было сообщено, что мое электронное письмо появилось во вставке, но теперь вставка не может быть найдена

Пасты часто преходящи; они появляются ненадолго, а затем удаляются. HIBP обычно индексирует новую вставку в течение 40 секунд после ее появления и сохраняет электронное письмо адреса, которые появились во вставке вместе с некоторыми метаданными, такими как дата, название и автора (если они есть). Сама вставка не сохраняется и не может быть отображена, если ее нет. дольше существует в источнике.


Моя электронная почта не найдена — значит ли это, что меня не забанили?

Несмотря на то, что HIBP постоянно обновляется с максимально возможным объемом данных, он содержит только небольшое подмножество всех записей, которые были взломаны за эти годы.Много нарушений никогда приводит к публичному обнародованию данных, и действительно, многие нарушения даже остаются незамеченными. «Отсутствие доказательств не является доказательством отсутствия» или, другими словами, только потому, что ваш адрес электронной почты не был найден здесь, не означает, что он не был скомпрометирован в другом нарушение.


Как HIBP обрабатывает «плюс псевдонимы» в адресах электронной почты?

Некоторые люди предпочитают создавать учетные записи, используя шаблон, известный как «плюс псевдоним» в своей электронной почте. адреса. Это позволяет им указать свой адрес электронной почты с дополнительными данными. в псевдониме, обычно отражающем сайт, на который они зарегистрировались, например [email protected]ком или [email protected] В настоящее время существует предложение UserVoice запрашивая поддержку этого шаблона в HIBP. Однако, как объясняется в этом предложении, использование алиасинга плюс чрезвычайно редко, появляется примерно только в 0,03% адреса загружаются в HIBP. Проголосуйте за предложение и следите за его ходом, если эта функция важно для вас.


Как хранятся данные?

Взломанные учетные записи находятся в табличном хранилище Windows Azure, которое не содержит ничего, кроме электронной почты. адрес или имя пользователя и список сайтов, на которых он появился во взломе.Если вы заинтересованы в подробности, все это описано в разделе Работа со 154 миллионами записей в хранилище таблиц Azure — история Have I Been Pwned


Записывается ли что-нибудь, когда люди ищут учетную запись?

Веб-сайт явно ничего не регистрирует. Единственная регистрация любого рода через Google Аналитика, аналитика приложений мониторинг производительности и любые диагностические данные, собираемые неявно, если возникает исключение в система.


Почему я вижу, что мое имя пользователя взломано в службе, на которую я никогда не подписывался?

Когда вы ищете имя пользователя, которое не является адресом электронной почты, вы можете увидеть, что это имя появляется против взлома сайтов, на которые вы никогда не подписывались.Обычно это просто из-за кого-то другого решив использовать то же имя пользователя, что и обычно. Даже если ваше имя пользователя выглядит очень уникальный, тот простой факт, что в мире насчитывается несколько миллиардов интернет-пользователей, означает, что существует высокая вероятность того, что большинство имен пользователей использовались другими людьми в одно время или Другой.


Почему я вижу, что мой адрес электронной почты взломан в службе, на которую я никогда не подписывался?

Когда вы ищете адрес электронной почты, вы можете увидеть, что этот адрес отображается против нарушений сайты, на которые вы не помните, когда-либо подписывались.Для этого есть много возможных причин, в том числе ваши данные были получены другой службой, служба переименовывает себя в нечто другой или кто-то еще подписывает вас. Для более полного обзора см. Почему происходит утечка данных на сайте, на который я никогда не подписывался?


Могу ли я получать уведомления для адреса электронной почты, к которому у меня нет доступа?

Нет. Из соображений конфиденциальности все уведомления отправляются на отслеживаемый адрес, поэтому вы вы не можете отслеживать чужой адрес и не можете отслеживать адрес, к которому у вас больше нет доступа к.Вы всегда можете выполнить поиск адреса по запросу, но не будет возвращено.


Сохраняет ли служба уведомлений адреса электронной почты?

Да, это необходимо для того, чтобы отслеживать, с кем связаться, если они попадут в последующие данные. нарушение. Только адрес электронной почты, дата подписки и случайный токен для проверки хранится.


Можно ли устранить нарушение моего адреса электронной почты после смены пароля?

HIBP предоставляет запись о том, в каких нарушениях появился адрес электронной почты, независимо от был ли впоследствии изменен пароль или нет.Тот факт, что адрес электронной почты был в нарушение является непреложным историческим фактом; это не может быть изменено позже. если ты не хочешь любое нарушение , чтобы публично появиться по адресу, используйте функцию отказа.


С какого адреса электронной почты отправляются уведомления?

Все электронные письма, отправляемые HIBP, приходят с адреса [email protected] Если вы ожидаете письмо (например, электронное письмо с подтверждением, отправленное при подписке на уведомления), и оно не прибудете, попробуйте внести этот адрес в белый список.99,x% времени электронная почта не приходит кому-либо входящие, это связано с тем, что почтовый сервер назначения отбрасывает его.


Откуда мне знать, что сайт не просто собирает искомые адреса электронной почты?

Вы не знаете, но это не так. Сайт просто предназначен для того, чтобы быть бесплатным сервисом для людей. оценить риск, связанный с тем, что их учетная запись может быть уличена в взломе. Как и на любом веб-сайте, если вы обеспокоены намерением или безопасностью, не используйте его.


Возможна ли «глубокая ссылка» непосредственно на поиск аккаунта?

Конечно, вы можете создать ссылку, чтобы поиск определенной учетной записи происходил автоматически, когда он загружается, просто передайте имя после пути «учетной записи».Вот пример:

https://haveibeenpwned.com/account/[email protected]

Как сообщить об утечке данных?

Если вы столкнулись с утечкой данных, о которой хотите сообщить, свяжитесь со мной. Проверьте, что в настоящее время загружено в HIBP на странице pwned веб-сайтов. во-первых, если вы не уверены, что брешь уже в системе.


Что такое «критическое нарушение»?

HIBP позволяет узнать, была ли ваша учетная запись раскрыта в большинстве данных. нарушения путем прямого поиска в системе.Однако некоторые нарушения особенно чувствительны в том смысле, что чье-либо присутствие при взломе может неблагоприятно повлиять на них, если другие смогли обнаружить, что они были членами сайта. Эти нарушения классифицируются как «чувствительные». и не подлежат публичному поиску.

Утечка конфиденциальных данных может быть обнаружена только подтвержденным владельцем адреса электронной почты. разыскивается. Это делается через систему уведомлений. который включает в себя отправку письма с подтверждением на адрес с уникальной ссылкой.Когда эта ссылка соблюдается, владелец адреса увидит все нарушения данных и вставки, которые они появляются, в том числе чувствительные.

В настоящее время насчитывается 43 конфиденциальные нарушения в системе, включая Adult FriendFinder (2015 г.), Adult FriendFinder (2016 г.), Adult-FanFiction.Org, Ashley Madison, Beautiful People, Bestialitysextaboo, Brazzers, Carding Mafia (декабрь 2021 г.), Carding Mafia (март 2021 г.), CrimeAgency vBulletin Хаки, CyberServe, Doxbin, Emotet, Fling, Виртуальная школа Флориды, Freedom Hosting II, Fridae, Fur Affinity, Gab, Guns.ком и еще 23.


Что такое «удаленная брешь»?

После инцидента безопасности, который приводит к раскрытию данных учетной записи, нарушение может быть загружается в HIBP, где затем отправляет уведомления затронутым подписчикам и становится доступный для поиска. В очень редких случаях это нарушение может быть впоследствии окончательно удалено из HIBP. где это затем классифицируется как «устарелое нарушение».

Устаревшее нарушение, как правило, означает, что данные не отображаются в других местах на сети, то есть он не продается и не перераспределяется.Удаление его из HIBP предоставляет те воздействуют с гарантией того, что их данные больше не могут быть найдены в каких-либо оставшихся местах. Для получения дополнительной информации ознакомьтесь с разделом Have I Been Pwned, отказом от участия, VTech и общими вопросами конфиденциальности.

На данный момент есть 1 устранена брешь в системе VTech.


Что такое «непроверенное» нарушение?

Некоторые нарушения могут быть помечены как «непроверенные». В этих случаях, пока есть законные данные в рамках предполагаемого нарушения, возможно, было невозможно установить легитимность вне всяких разумных сомнений.Неподтвержденные нарушения по-прежнему включены в систему потому что, независимо от их легитимности, они по-прежнему содержат личную информацию о люди, которые хотят понять свою экспозицию в Интернете. Дополнительная информация о неподтвержденные нарушения можно найти в сообщении блога под названием Представляем неподтвержденные нарушения в Have I Been Pwned.


Что такое «сфабрикованное» нарушение?

Некоторые нарушения могут быть помечены как «сфабрикованные». В этих случаях маловероятно что нарушение содержит законные данные, полученные с предполагаемого сайта, но все же может быть проданы или проданы под эгидой законности.Часто эти инциденты состоят из данных, собранных из других мест (или могут быть полностью сфабрикованы), но по-прежнему содержат фактические адреса электронной почты без ведома владельца учетной записи. Сфабрикованные нарушения по-прежнему включены в систему, потому что, независимо от их законности, они по-прежнему содержат личную информацию о людях, которые хотят понять их воздействие в Интернете. Дополнительную информацию о непроверенных нарушениях можно найти в сообщении блога под названием Представляем «сфабрикованные» бреши в Have I Been Pwned.


Что такое «список спама»?

Иногда обнаруживается, что большие объемы персональных данных используются в целях рассылка целевого спама. Это часто включает в себя многие из тех же атрибутов, которые часто встречаются в утечки данных, таких как имена, адреса, номера телефонов и даты рождения. Списки часто собраны из нескольких источников, часто путем получения личной информации от людей с обещанием денежного вознаграждения . Хотя данные могли быть получены не из взломанной системы, личный характер информация и тот факт, что она распространяется таким образом без ведома владельцев требует включения сюда.Узнайте больше о списках нежелательной почты в HIBP .


Что такое «вредоносное ПО»?

Нарушения данных в HIBP не всегда являются результатом нарушения безопасности онлайн-сервиса. а иногда также загружаются данные, полученные в результате кампаний вредоносных программ. Например, ФБР США и NHTCU Нидерландов предоставили HIBP данные вредоносного ПО Emotet в апреле 2021 года. Риск, которому подвергаются люди в этих инцидентах, различен (их личное устройство может быть скомпрометирован) отсюда и наличие этого флага в HIBP.


Что означает наличие моего пароля в Pwned Passwords?

Если пароль найден в сервисе Pwned Passwords, значит он ранее фигурировал в утечке данных. HIBP не хранит никакой информации о том, кто кому принадлежал пароль, только то, что он ранее был обнародован и сколько раз он был замечен. Pwned Password больше не следует использовать, так как его раскрытие делает его более уязвимым. риск быть использованным для входа в учетные записи с использованием раскрытого секрета.


Могу ли я приобрести годовой ключ API вместо ежемесячного?

На данном этапе API-ключи можно приобретать только ежемесячно. Есть случаи где годовой облегчил бы жизнь людям (например, в корпоративной среде), пожалуйста, проголосуйте за идею User Voice и вы будете уведомлены, если это будет реализовано в будущем.


Могу ли я оплатить API другим способом, кроме кредитной карты?

Вся экосистема ключей API привязана к Stripe для выполнения платежей.В настоящее время есть нет возможности приобрести ключи любым другим способом, кроме кредитной карты, например, через PayPal или Биткойн.


Наш [отдел] хотел бы [что-то формальное] перед покупкой ключа API, вы можете его предоставить?

Ключ API — это покупка самообслуживания за 3,50 доллара в месяц, которая автоматически отправляет квитанция после выполнения платежа. Ни котировок, ни официальных документов, ни подписи и никаких переговоров. Полную информацию см. на странице API. документация.


Могу ли я получить ключ API бесплатно, потому что [причины]?

Нет. Если вы попросите бесплатный ключ для по любой причине , вы не получите ответа.


Я искал свой адрес электронной почты на HIBP, а потом меня взломали, что дает?!

Во-первых, поиски не регистрируются, поэтому нет сбора адреса. Любые поиски, которые выполняются , выполняются через зашифрованное соединение. поэтому никто не имеет доступа к веб-трафику, кроме тех, кто размещает службы HIBP.Даже если они сделали, это всего лишь адрес электронной почты и недостаточно, чтобы получить доступ к чьему-либо онлайн аккаунты. Если Pwned Passwords также использовался для поиска пароль, он анонимизируется перед отправкой в ​​HIBP, поэтому даже поиск по обоим адресам электронной почты и пароль не предоставляет подходящую пару учетных данных. Корреляция не подразумевает причинно-следственную связь; это совпадение.


Здесь немного подробностей, где я могу получить больше информации?

Дизайн и сборка этого проекта подробно описаны на troyhunt.ком под тегом Have I Been Pwned. Эти сообщения в блогах объясняют большую часть причин, лежащих в основе различных функций, и того, как они реализована на облачной платформе Microsoft Windows Azure.

Меня взломали: взломанные пароли

Повторное использование пароля и вброс учетных данных

Повторное использование пароля — это нормально. Это чрезвычайно рискованно, но так распространено, потому что легко и люди не знают о потенциальном воздействии. Атаки, такие как вброс учетных данных использовать преимущества повторно используемых учетных данных, автоматизируя попытки входа в систему против систем, использующих известные электронные письма и пары паролей.


Руководство NIST: сверяйте пароли с паролями, полученными в результате предыдущих утечек данных

Сервис Pwned Passwords был создан в августе 2017 года после NIST выпустил руководство, в котором конкретно рекомендуется проверять пароли, предоставляемые пользователями. против существующих утечек данных. Обоснование этого совета и предложения о том, как приложения могут использовать эти данные, подробно описано в сообщении блога под названием Представляем 306 миллионов бесплатных паролей Pwned.В феврале 2018 года вышла 2 версия сервиса с более чем полумиллиардом паролей, каждый из которых теперь также имеет подсчет того, сколько раз они был замечен разоблаченным. Выпуск версии 3 в июле 2018 г. предоставили еще 16 миллионов паролей, версия 4 вышла в январе 2019 года. вместе с утечкой данных «Коллекции № 1», в результате чего общее количество превысило 551 миллион. Версия 5 вышла в июле 2019 года. с общим количеством записей 555 млн, версия 6 прибыла в июне 2020 г. с почти 573M, затем версия 7 прибыла в ноябре 2020 г. доведя общее количество паролей до более чем 613M.Последним монолитным выпуском стала версия 8 в декабре 2021 г. что положило начало конвейеру приема, используемому правоохранительными органами, такими как ФБР.


Загрузка списка взломанных паролей

Полный набор паролей можно бесплатно загрузить ниже, при этом каждый пароль представлен в виде хэша SHA-1 или NTLM для защиты исходного значения (некоторые пароли содержать информацию, позволяющую установить личность), за которой следует количество раз, пароль был замечен в нарушениях исходных данных.Список может быть интегрирован в другие систем и используется для проверки того, появлялся ли пароль ранее при утечке данных после о котором система может предупредить пользователя или даже сразу заблокировать пароль. Для предложений по методы интеграции, прочитайте сообщение в блоге о запуске Pwned Passwords за дополнительной информацией. В настоящее время загружаемые файлы не обновляются новыми записи из конвейера приема, используйте API k-anonymity, если хотите получить к ним доступ.

Пожалуйста, загрузите данные через торрент-ссылку, если это возможно! Если не можешь получить доступ к торрентам (например, они заблокированы корпоративным брандмауэром), использовать «Cloudflare» ссылку, и они любезно покроют стоимость полосы пропускания.

  Формат Файл Дата Размер Хэш SHA-1 файла 7-Zip
поток
облачная вспышка
ША-1 Версия 8
(в порядке распространенности)
Декабрь 2021 17,2 ГБ 9c0a584e6799c09c648ded04d1e373172d54a77e
поток
облачная вспышка
ША-1 Версия 8
(упорядочено по хэшу)
Декабрь 2021 11.1 ГБ 3499a3f82bb94f62cbd9bc782d6d20324e7cde8e
поток
облачная вспышка
НТЛМ Версия 8
(в порядке распространенности)
Декабрь 2021 13,8 ГБ 972987f903f845da74067aa32541af59c1b61367
поток
облачная вспышка
НТЛМ Версия 8
(упорядочено по хэшу)
Декабрь 2021 11,7 ГБ 225a993a908e3d73ffa68859c4f128e17359358e

Помогите поддержать HIBP, пожертвовав

Спасибо за загрузку Pwned Passwords! Пока файл загружается, если хотите чтобы помочь поддержать проект, есть страница пожертвований, которая объясняет больше о том, что делает все это возможным.Ваша поддержка в помощи этой инициативе продолжение очень ценится!

перейти на страницу пожертвований

Затраты на пропускную способность при распространении этого контента из размещенной службы значительны, когда скачано много. Cloudflare любезно предложил поддержать эту инициативу путем агрессивного кэширования файла на своих пограничных узлах и сверх того, что обычно было бы доступно. Их поддержка в предоставлении этих данных, чтобы помочь организации защищают своих клиентов наиболее ценится.

Что это значит и что делать

Что означает Pwned?

Согласно Urban Dictionary, краудсорсинговому онлайн-словарю сленговых слов и фраз, существует два возможных источника значения pwned.Согласно одной из теорий, pwned возник в онлайн-игре под названием Warcraft, где дизайнер карты неправильно написал слово «принадлежал». Вторая теория приписывает происхождение слова pwned известному игроку в Quake, который также неправильно написал слово «принадлежал».

Независимо от того, какое из этих двух возможных происхождений слова pwned является правильным, этот термин всегда вольно означал, что кто-то находился под властью кого-то другого, сначала в онлайн-видеоиграх, а затем в Интернете хакеров.

В наши дни обычные интернет-пользователи редко подвергаются мошенничеству в традиционном смысле этого слова.В центре внимания хакеров оказались компании, хранящие тысячи, а иногда и миллионы учетных данных для входа в систему. Когда компания подвергается мошенничеству, ее пользователи также автоматически подвергаются мошенничеству.

Хотя компании строго обязаны своевременно сообщать об утечках данных, не все компании соблюдают правила, а те, которые соблюдают, иногда пытаются преуменьшить всю ситуацию и представить ее менее серьезной, чем она есть на самом деле. Вот почему все заинтересованные пользователи Интернета должны ознакомиться с Have I Been Pwned, огромной онлайн-базой данных взломанных паролей и электронных адресов.

Меня взломали?

С помощью Privacy Guard от Clean Email проверьте, не взломан ли ваш адрес электронной почты.

Попробуйте БЕСПЛАТНО

Что такое I Been I Been Pwned?

Have I Been Pwned был создан в 2013 году австралийским исследователем безопасности Троем Хантом, который на сегодняшний день собрал более 5 600 000 000 взломанных учетных записей в результате более чем 300 утечек данных. «Я начал задаваться вопросом, сколько людей на самом деле знают о том, насколько широко распространяется эта сеть, и сколько мест теперь раскрывает их данные», — сказал Хант.«Я хочу, чтобы люди знали, что им, вероятно, нужно сменить пароль, и им нужно следить за необычными кредитными запросами».

В разделе Have I Been Pwned вы можете ввести свой адрес электронной почты, нажать Enter на клавиатуре и мгновенно увидеть, на скольких взломанных сайтах он использовался. Вы также можете получать уведомления, когда в будущем произойдет взлом, и ваша учетная запись будет скомпрометирована, а это значит, что вам больше никогда не придется спрашивать: «Меня взломали?»

Have I Been Pwned также имеет огромную базу данных паролей в виде простого текста, которые в какой-то момент были раскрыты в результате утечки данных.Хант придумал умный способ позволить интернет-пользователям проверять, появлялся ли данный пароль когда-либо в каком-либо взломе, не ставя под угрозу свою безопасность. Подробнее о том, как Have I Been Pwned защищает конфиденциальность разыскиваемых паролей, можно прочитать здесь.

1Password, менеджер паролей, который предоставляет пользователям место для хранения различных паролей, лицензий на программное обеспечение и другую конфиденциальную информацию в виртуальном хранилище, интегрируется с Have I Been Pwned, что позволяет его пользователям удобно проверять, не были ли украдены их пароли. Интернет.Пользователи Linux могут установить небольшую утилиту под названием Am I Pwned, чтобы проверить, не были ли взломаны их пароли, непосредственно из командной строки.

Что делать, если вас обманули?

«Хорошо, Have I Been I Been Pwned сказал мне, что меня взломали. Что теперь?» Самое главное, если один из ваших онлайн-аккаунтов был взломан, — не паниковать. Хотя утечка ваших учетных данных для входа в Интернет может ужасно сбивать с толку, вы должны понимать, что крупномасштабные утечки данных происходят постоянно, поэтому у вас есть хотя бы некоторое время, чтобы действовать и предотвратить дальнейший ущерб.

Шаг 1. Смените пароль

Если вас взломали, вам необходимо как можно скорее сменить пароль. Вам следует избегать использования паролей, которые уже были украдены ранее, поэтому обязательно проконсультируйтесь с Have I Been Pwned, прежде чем принять окончательное решение. Эксперты по безопасности выступают за использование длинных паролей вместо случайных последовательностей букв, цифр и специальных символов.

Сегодня многие сайты поддерживают многофакторную аутентификацию (MFA), иногда называемую двухфакторной или двухэтапной аутентификацией, и мы настоятельно рекомендуем вам по возможности использовать ее преимущества.В MFA вас попросят представить два или более доказательств, чтобы получить доступ. Большинство реализаций MFA требуют, чтобы пользователи вводили код со своего мобильного устройства или из учетной записи электронной почты.

Шаг 2. Используйте уникальный пароль для каждой учетной записи в Интернете

Люди, использующие уникальный пароль для каждой учетной записи в Интернете, гораздо меньше подвержены утечке данных, чем люди, которые используют одни и те же пароли снова и снова. Одно исследование 2013 года показало, что 55% людей использовали один и тот же пароль для всех своих учетных записей.

С тех пор мало что изменилось. «52 процента исследованных пользователей имеют одинаковые пароли (или очень похожие и легко взламываемые) для разных сервисов», — заявили исследователи из Технического университета Вирджинии и аналитики Dashlane после проведения одного из крупнейших эмпирических исследований моделей повторного использования и модификации паролей.

Конечно, невозможно запомнить десятки разных паролей, и тут на помощь приходят менеджеры паролей, такие как 1Password, LastPass или Bitwarden.Менеджеры паролей могут предлагать надежный пароль, безопасно хранить его в зашифрованном хранилище и автоматически заполнять его, когда вы хотите войти в систему. Несмотря на то, что с ними связаны определенные риски безопасности, менеджеры паролей снова и снова доказывают, что они самые простые и безопасные. способ хранения логинов и паролей.

Шаг 3. Усильте средства защиты от кибербезопасности

К сожалению, вы мало что можете сделать для предотвращения крупномасштабных утечек данных, откуда поступает большинство взломанных электронных писем и паролей.Тем не менее, вы можете многое сделать, чтобы укрепить свою личную защиту от киберугроз.

Электронная почта — очень распространенный вектор атаки, поскольку она позволяет злоумышленникам распространять вредоносное ПО с минимальными усилиями и пугающе отличными результатами. Даже опытным пользователям компьютеров, которые хорошо разбираются в кибербезопасности, иногда трудно отличить спам от законных электронных писем, и достаточно одной ошибки, чтобы вас забанили.

Хорошей новостью является то, что вы можете легко заблокировать нежелательных отправителей и отказаться от подписки на все нежелательные электронные письма с помощью Clean Email, средства очистки электронной почты с мощными фильтрами и интеллектуальными алгоритмами, которые анализируют только заголовки электронной почты и не имеют доступа к фактическому содержанию ваших электронных писем или вложения.

Чтобы начать работу с Clean Email, нужно всего несколько минут, и он работает со всеми популярными почтовыми службами, включая Gmail, Outlook и Yahoo.

Функция Privacy Guard от Clean Email помогает защитить вашу учетную запись от взлома, гарантируя, что ваша электронная почта не была обнаружена в каких-либо известных утечках данных или инцидентах безопасности.

Конечно, нарушения безопасности случаются каждый день по разным причинам. Таким образом, ваша электронная почта может быть включена в нарушение. Хорошей новостью является то, что даже если ваша система безопасности будет нарушена, Privacy Guard сообщит вам об этом.Как только Privacy Guard обнаружит потенциальную угрозу, он предложит вам сменить пароль, чтобы вы могли обеспечить безопасность своей учетной записи.

Как не попасть в ловушку?

Посетить Have I Been Pwned и обнаружить, что ваш пароль просочился в сеть и был передан киберпреступникам в даркнете, — это не весело. К счастью, есть много вещей, которые вы можете сделать, чтобы не попасть в ловушку, и большинство из них не требуют каких-либо специальных навыков.

1. Обновите свои приложения и устройства

Киберпреступники постоянно ищут незащищенные приложения и устройства и без колебаний используют любую обнаруженную незащищенную уязвимость.Чтобы вас не забанили, вам нужно убедиться, что вы всегда в курсе последних событий.

Несмотря на то, что многие приложения и устройства в наши дни поддерживают автоматические обновления, мы рекомендуем вам не слишком полагаться на них. Однако вы можете облегчить себе жизнь, используя средство проверки обновлений, такое как Patch My PC или Software Updates Monitor (SUMO).

Не забудьте проверить свои устройства Интернета вещей, такие как беспроводная камера безопасности, интеллектуальный дверной замок или термостат для подключения к Интернету, потому что, если их не исправить, киберпреступники могут проникнуть в вашу сеть.

Наконец, убедитесь, что ваше антивирусное решение работает должным образом, защищая вас от новейших угроз. В наши дни нет необходимости тратить сотни долларов, чтобы получить надежную защиту от вирусов, троянских коней, программ-вымогателей и других киберугроз, поэтому не стесняйтесь использовать другое решение для защиты от вредоносных программ, если вы не удовлетворены своим текущий.

2. Соблюдайте правила безопасности при работе с электронной почтой

Сообщения электронной почты являются частым источником вредоносных программ и мошеннических действий, поэтому вам необходимо соблюдать правила безопасного обращения с электронной почтой всякий раз, когда вы входите в свой почтовый ящик.Для начала обратите внимание на все сообщения, которые вы получаете, и подумайте дважды, прежде чем нажимать на что-либо. Когда сообщение электронной почты выглядит подозрительно, велика вероятность, что это действительно мошенничество или вредоносное ПО.

Если вы не уверены, ответьте на следующие вопросы:

  1. Вы знаете отправителя?
  2. Вы ждали этого сообщения?
  3. Строка темы кажется вам законной?
  4. Считаете ли вы, что вам следует открыть письмо?

Если вы ответили «нет» на один или несколько из этих вопросов, мы рекомендуем вам не открывать сообщение электронной почты, так как весьма вероятно, что оно не является законным.

3. Борьба с нежелательной почтой

Анализ каждого сообщения электронной почты от неизвестного отправителя, которое вы получаете, может занимать чрезвычайно много времени, поэтому крайне важно бороться с нежелательной почтой и не допускать ее попадания в ваш почтовый ящик.

Воспользуйтесь функцией отмены подписки Clean Email и избавьтесь от всех подписок, которые вы не хотите получать:

  1. Перейдите по ссылке: https://app.clean.email
  2. Войдите, указав свой адрес электронной почты и пароль.
  3. Выберите функцию «Отписаться» на левой панели.
  4. Нажмите кнопку «Отписаться», чтобы отказаться от подписки.

Чтобы в будущем не попасть в новые списки подписки, рассмотрите возможность создания еще одного адреса электронной почты и использования его исключительно для онлайн-покупок и других действий, которые могут привести к подписке по электронной почте. Используйте одноразовые почтовые сервисы, такие как Guerrilla Mail, при регистрации на сайтах, которые кажутся вам не заслуживающими доверия.

4. Используйте многофакторную аутентификацию

Многофакторная аутентификация требует от вас предоставления двух или более уникальных доказательств для получения доступа к вашей учетной записи.Первым требуемым доказательством обычно является пароль, за которым следует временный код аутентификации, сканирование отпечатков пальцев или какая-либо другая форма идентификации.

В наши дни многофакторную аутентификацию поддерживают практически все основные поставщики услуг электронной почты, а также бесчисленное множество веб-сайтов и приложений. При активированной многофакторной аутентификации киберпреступник не сможет получить доступ к вашей учетной записи, даже если он знает ваш пароль.

Единственным недостатком многофакторной аутентификации является то, что попытки входа в систему занимают больше времени, но это небольшая цена за значительно улучшенную безопасность.

Если вы хотите вывести многофакторную аутентификацию на новый уровень, рассмотрите возможность использования токена физической безопасности, такого как YubiKey, который представляет собой небольшое аппаратное устройство с ключом шифрования. Без этого аппаратного устройства никто не сможет получить доступ к вашей учетной записи.

5. Создайте уникальный пароль для каждой учетной записи

Печальная правда заключается в том, что вы не всегда можете избежать взлома, потому что безопасность вашей личной информации и данных также находится в руках компании, на серверах которой они хранятся.Лучшее, что вы можете сделать, — принять утечку данных как нечто неизбежное и сделать все возможное, чтобы свести к минимуму последствия.

В частности, вы должны создать уникальный пароль для каждой вашей учетной записи. Это можно легко сделать с помощью менеджера паролей, такого как Bitwarden. Менеджер паролей может безопасно хранить ваши пароли, синхронизировать их между вашими устройствами и автоматически заполнять поля входа, чтобы сэкономить ваше время.

Заключение

Если вас забанили, вы точно не одиноки.Бесчисленное количество людей ежедневно становятся жертвами крупномасштабных утечек данных, и многие другие становятся жертвами спамеров, рассылающих вредоносные ссылки по электронной почте. В этой статье мы объяснили, как вы можете узнать, были ли вы заблокированы, и шаги, которые вы должны предпринять, чтобы предотвратить дальнейший ущерб.

Вас обманули? Часто задаваемые вопросы

Законно ли меня взломали?

Да, услуга «Меня взломали» полностью легальна. Этот источник поможет вам определить, использовались ли ваши данные без вашего ведома.Сегодня нельзя быть слишком осторожным. Учитывая, что инциденты с утечкой данных могут затронуть сотни или тысячи учетных записей электронной почты одновременно, трудно отследить, где используются ваши данные и информация. Таким образом, использование такого ресурса, как «Have I Been Pwned», помогает вам контролировать вашу информацию и тех, кто может иметь к ней доступ.

Опасно ли быть обманутым?

Да, к сожалению, быть заложником может быть чрезвычайно опасно. Из-за печальной общности хакерских атак и компаний, пытающихся преуменьшить серьезность любых происходящих инцидентов, люди склонны думать, что их обман не имеет большого значения.Тем не менее, мошенничество может привести к краже личных данных, на решение которой могут уйти годы сборов, юридические проблемы и огромный стресс. Вот почему так важно иметь на своей стороне агента идентификации, такого как Privacy Guard от Clean Email.

Что произойдет, если меня взломали?

Если вас взломают, хакеры получат контроль над вашими учетными записями. Они могут заблокировать вас, но, что еще более неловко, они могут рассылать спам, вредоносные программы или фишинговые электронные письма вашим контактам. Хотя большинство людей понимают, что взлом — это печальная реальность, несоблюдение правильных мер предосторожности может привести к проблемам на работе или даже в личной жизни, если хакер использует вашу информацию, чтобы обмануть кого-то другого.

Откуда Google узнает, что мои пароли взломаны?

Google имеет встроенный менеджер паролей. Этот менеджер паролей проверяет, являются ли пароли слабыми, а также проверяет, не скомпрометирован ли ваш пароль. Менеджер может выполнять автоматическую проверку при входе на веб-сайты, но вы можете проверить свой пароль вручную с помощью этого процесса: «Настройки» → «Пароли» → «Проверить пароли» → «Проверить сейчас». Если менеджер паролей определит, что ваш пароль скомпрометирован, вы должны немедленно принять меры безопасности.

Насколько надежен ваш пароль?

Безопасность вашего пароля зависит от длины и сложности вашего пароля, типа используемого шифрования, а также от того, используете ли вы VPN, стабильное частное подключение к Интернету или наименее безопасный из всех общедоступный Wi-Fi. Эксперты по безопасности советуют, чтобы пароли состояли из 16 или более символов, с различными буквами, цифрами и специальными символами. Такая длина и сложность сложны для большинства людей. Таким образом, здесь может пригодиться менеджер паролей.Кроме того, рекомендуется использовать только один пароль для каждой учетной записи и всегда включать двухфакторную авторизацию.

Какие шаги следует предпринять, если ваша электронная почта была заблокирована?

Если ваша электронная почта была взломана, это означает, что безопасность вашей учетной записи была скомпрометирована. Почти каждую неделю происходит новая утечка данных на веб-сайте или в сервисе, о которой широко сообщается по всему миру. Разумно задаться вопросом, была ли ваша информация частью такого взлома. Это может означать, что ваши пароли и адреса электронной почты оказались в руках киберпреступников.

Взлом учетной записи с использованием вашего адреса электронной почты, возможно, является первым шагом к краже личных данных. С вашим адресом электронной почты связано много конфиденциальной информации. Возможно, вы связали данные своей кредитной карты или другую важную личную информацию с теми же учетными данными для входа в другую учетную запись. Если ваша учетная запись электронной почты попала в чужие руки, преступники могут использовать вашу информацию для покупки товаров на ваше имя, а также использовать ее для распространения вредоносных программ или как часть ботнета.Если вы повторно использовали ту же комбинацию пароля и адреса электронной почты в других учетных записях, тот, кто получил доступ к вашей информации, может использовать это, чтобы нанести ущерб и этим другим профилям. Кража личных данных может нанести вам финансовый ущерб и проблемы с законом.

Существует множество способов взлома вашей электронной почты. Ваша учетная запись электронной почты не только является частью взлома, но и может быть взломана с помощью вредоносных программ на любом из ваших устройств или с помощью фишинга. Вы можете проверить, была ли ваша информация частью взлома.У F-Secure есть бесплатный инструмент, который вы можете использовать для этого. В противном случае может быть трудно быть уверенным в том, что ваша электронная почта была скомпрометирована. В конце концов, следующие шаги по защите вашей учетной записи на самом деле не сильно отличаются друг от друга. Вот четыре вещи, которые вы должны сделать, если ваша электронная почта была взломана .

1. Убедитесь, что ваши антивирусные программы и операционные системы обновлены

Вредоносное ПО является основной причиной получения личной информации преступниками.Наличие современных программ кибербезопасности и операционной системы на каждом из ваших устройств важно для защиты ваших учетных записей от взлома. Программное обеспечение регулярно обновляется, чтобы хакеры не могли использовать его недостатки и слабости. Обновления не только улучшают программное обеспечение, но и делают его более безопасным. Автоматические обновления могут избавить вас от многих проблем, если они еще не включены.

2. Просканируйте устройство на наличие вредоносных программ

Если на вашем устройстве есть вредоносное ПО, смены паролей недостаточно.Злоумышленник может получить доступ к вашим новым паролям, например, через кейлоггер.

Прежде чем менять какие-либо пароли, проверьте свое устройство на наличие вредоносных программ. Делать это нужно регулярно, даже если вроде бы все в порядке, потому что вредоносное ПО может быть незаметным. Некоторые вредоносные программы могут даже деактивировать ваше антивирусное программное обеспечение, если оно недостаточно мощное, чтобы предотвратить это.

Даже если вы знаете, что ваша учетная запись была взломана из-за серьезной уязвимости, рекомендуется выполнить полное сканирование. Если сканирование обнаружит инфекцию, сначала разберитесь с ней.Если вы уже меняли пароли, измените их снова. Возможно, они уже были скомпрометированы.

3. Теперь измените свои пароли

Это один из самых важных шагов. Это здоровая привычка время от времени менять свои пароли. Если вы подозреваете или знаете, что ваша электронная почта была заблокирована, вы должны изменить их. Если вы повторно использовали свой пароль для других учетных записей, от чего вам определенно следует избавиться, вам также следует изменить пароли для этих учетных записей.Да, иметь несколько паролей может быть утомительно, но мы говорим здесь о вашей собственной безопасности. Можете ли вы быть слишком безопасным?

Если пароль от взломанной учетной записи был изменен, не паникуйте. Вы по-прежнему можете восстановить свою учетную запись с помощью функции «забыли пароль», если вы разместили контрольные вопросы или резервный адрес электронной почты или номер телефона.

Говоря о контрольных вопросах, их тоже следует изменить. Возможно, злоумышленник получил доступ к вашей учетной записи, взломав секретные вопросы.Это возможно, если вы использовали ответы, которые можно угадать на основе ваших профилей в социальных сетях или личной информации.

4. Проверьте настройки электронной почты

Если ваша учетная запись электронной почты была заблокирована, мошенники могут заставить ее делать то, чего вы не хотите. Это может включать пересылку ваших сообщений злоумышленнику и автоматическую рассылку вредоносных программ или фишингового спама. Проверьте свои настройки и посмотрите, не обнаружите ли вы что-нибудь тревожное.

Вы также можете отправить электронное письмо своим контактам или опубликовать в социальных сетях информацию о том, что ваша электронная почта была заблокирована, чтобы предупредить вас об открытии отправленных вами вложений.Это может защитить ваши контакты от заражения вредоносным ПО.

Как защитить свою электронную почту от взлома?

Обратите внимание на источник сообщений; не поддавайтесь фишингу или спаму. Всегда будьте осторожны при открытии файлов, переходе по ссылкам или установке программ. Вы должны делать это только тогда, когда вы доверяете происхождению. Скорее всего, вы не выиграли в лотерею, ваш банк или власти не просят вас подтвердить подлинность информации в Интернете, и «горячие женщины в вашем районе», вероятно, будут использовать другие способы, чтобы связаться с вами.

Включение двухфакторной аутентификации — очень хороший способ затруднить взлом вашей учетной записи. Вот почему многие банки и поставщики услуг используют его. Вы должны следовать их примеру и использовать его, когда это возможно.

Наконец, всегда используйте надежные пароли. Чем сложнее будет угадать ваш пароль, тем лучше. Вы не должны повторно использовать свои пароли, особенно для важных и конфиденциальных учетных записей. Если у вас есть менеджер паролей для защиты ваших паролей, вам нужно запомнить только один, чтобы получить доступ ко всем остальным.

F-Secure ID PROTECTION — безопасный и удобный менеджер паролей. Это также позволяет вам установить вашу личную информацию для круглосуточного мониторинга, поэтому, когда будет обнаружено, что ваша электронная почта является частью взлома, вы будете встревожены. ID PROTECTION также включена в F-Secure TOTAL.

 

 

 

 

Что означает PWNED и почему это важно

Вы же не хотите получить PWNED, верно? Хотя этот интернет-термин впервые появился в Warcraft, теперь он имеет более конкретное значение.И это нехорошо.

Производное от слова «принадлежит», « PWNED » — термин, впервые обретший значение в культуре видеоигр. В последние годы вместо PWNED , скорее всего, означает, что некоторые из ваших личных данных в Интернете были скомпрометированы. Вот более пристальный взгляд на этот термин и его значение для ваших онлайн-путешествий.

Что такое PWNED?

Согласно Urban Dictionary, PWNED — это «искажение» слова «принадлежит» и впервые появилось в онлайн-игре Warcraft. Это произошло из-за неправильного написания слова «владелец» дизайнером карты.В этом случае, когда компьютер обыграл кого-то в пришедшем, «такой-то был в собственности».

В последние годы вы, возможно, слышали термин для обозначения веб-сайта «Have I Been Pwned» или «HIBP». Он служит потрясающим ресурсом для онлайн-пользователей, чтобы проверить, не взломаны ли личные данные. Кроме того, посетители могут подписаться со своей электронной почтой, чтобы получать оповещения всякий раз, когда происходит новое нарушение.

Созданный в 2013 году экспертом по веб-безопасности Троем Хантом, HIBP изучает утечки данных на предмет тенденций и закономерностей.Посетители сайта могут бесплатно проверить, является ли их электронная почта или номер телефона частью текущего или исторического нарушения. Если это так, вы увидите список того, какой тип данных был скомпрометирован. Помимо номеров электронной почты и телефонов, это могут быть даты рождения, пол, географическое местоположение, IP-адреса, имена, пароли, профили в социальных сетях, URL-адреса веб-сайтов пользователей, имена пользователей и т. д.

HIBP также указывает дату нарушения, когда оно было добавлено на веб-сайт, и количество учетных записей, скомпрометированных для каждого нарушения данных.

Другая информация

Помимо веб-сайта, HIBP также имеет активную учетную запись Twitter, которую сайт использует для оповещения общественности о новых нарушениях.

Новое нарушение: в июне прошлого года в OrderSnapp было взломано 1,3 млн уникальных адресов электронной почты. Данные также включали имена, номера телефонов, DoB и хэши паролей bcrypt. 84% уже были в @haveibeenpwned. Подробнее: https://t.co/bDsnDxTksa

— Have I Been Pwned (@haveibeenpwned) 8 августа 2021 г.

Из-за своего происхождения аббревиатура PWNED не является эксклюзивной для HIBP.Этот термин до сих пор часто используется в социальных сетях, как показывают следующие примеры:

Чувак, меня действительно разозлила национальная метеорологическая служба, когда я твитнул это https://t.co/oebR8Fd2KF

— Kasey Strube (@ Strubekm) 13 августа 2021 г.

Вы можете найти информацию о других интернет-аббревиатурах в groovyPost, нажав здесь. Продолжайте возвращаться по мере добавления новых.

«Я был взломан?»— Что это такое и что делать, когда вы *заблокированы*

Вы используете Have I Been Pwned (HIBP), чтобы проверить, не были ли ваши данные скомпрометированы.То, что вы делаете дальше, когда pwned занимает пару шагов.

Adobe. Яху!. Министерство энергетики США (DoE). Нью-Йорк Таймс.

Общим для этих названий является то, что все они пережили как минимум одну утечку в 2013 году, когда злоумышленники начали нацеливаться на организации в разных отраслях, чтобы либо украсть данные с целью получения прибыли, либо слить их, чтобы «преподать компаниям урок кибербезопасности».

Большинство взломанных данных представляют собой учетные данные, такие как имена пользователей и пароли, причем первым обычно является адрес электронной почты.Некоторая личная информация (PII) и другие конфиденциальные данные, ориентированные на организацию, также были добавлены в смесь.

В этом году было так много взломов, а за несколько лет до этого наблюдался рост числа таких атак, и это может натолкнуть на мысль: как люди могут следить за тем, не пострадали ли они от этих взломов или нет? Знают ли они даже , что их взломали?

Эта распространенность утечек данных в сочетании с его анализом атаки Adobe побудила Троя Ханта, австралийского эксперта по кибербезопасности, блоггера и оратора, создать Have I Been Pwned (HIBP), веб-сайт, который позволяет пользователям Интернета проверять свои личные данные. данные были скомпрометированы или являются частью множества утечек данных после взлома компании.


Чувствуете усталость от безопасности? Послушайте Троя Ханта вместе с другими экспертами по кибербезопасности Хлоей Мессдаги и Таней Янка в этом эпизоде ​​Lock and Code о том, как его победить.

Это видео не может быть отображено, поскольку ваши функциональные файлы cookie в настоящее время отключены.

Чтобы включить их, посетите нашу политику конфиденциальности и найдите раздел «Файлы cookie». Выберите «Нажмите здесь» , чтобы открыть Центр настроек конфиденциальности, и выберите «Функциональные файлы cookie» в меню.Вы можете переключить вкладку обратно на «Активно» или отключить, переместив вкладку на «Неактивно». Нажмите «Сохранить настройки».


«Меня обманули?» законный?

Да, это так.

На сегодняшний день HIBP существует уже почти десять лет, и за эти годы он доказал, что является важным инструментом как для обычных пользователей Интернета, так и для правительств и организаций.

Да, вы правильно прочитали: правительства.HIBP оказывает помощь правительствам, таким как Великобритания, Австралия и Румыния (и это лишь некоторые из них), в отслеживании нарушений в государственных доменах. Обратите внимание, что централизованный мониторинг осуществляется подразделениями кибербезопасности этих правительств, такими как Национальный центр кибербезопасности (NCSC) в Великобритании, Австралийский центр кибербезопасности (ACSC) в Австралии и CERT-RO в Румынии. Эти организации, конечно же, не могут запрашивать другие веб-сайты за пределами государственных доменов.

«Единственный доступ, который у них есть, — это домены, к которым их люди, работающие в этих отделах, могут в любом случае запрашивать с помощью существующей модели бесплатного поиска доменов, мы просто объединяем все это в единую службу», — написал Хант в своем блоге в 2018 году об этом. дело.Если вам интересно узнать об этом больше, здесь есть подробная информация.

HIBP также управляется и обслуживается в одиночку самим Хантом, а не командой. А Хант — известное имя, пользующееся большим доверием в кругах кибербезопасности. Кроме того, он управляет сервисом «с максимальной прозрачностью».

— «Меня обманули?» сейф?

Если вы более ориентированы на конфиденциальность и никогда не любите веб-сайты, отслеживающие ваши запросы всякий раз, когда вы используете их функцию поиска, понятно, что вас беспокоит, может ли HIBP отслеживать или, что еще хуже, записывать каждый ваш запрос. .

Согласно странице часто задаваемых вопросов HIBP: «Веб-сайт ничего явно не регистрирует. Единственное ведение журналов любого рода осуществляется через Google Analytics, мониторинг производительности Application Insights и любые диагностические данные, собираемые неявным образом, если в системе возникает исключение».

Ниже приведены другие вопросы, связанные с хранением данных, рассматриваемые на этой странице:

Как хранятся данные?
Взломанные учетные записи хранятся в табличном хранилище Windows Azure, которое не содержит ничего, кроме адреса электронной почты или имени пользователя и списка сайтов, на которых они были взломаны.Если вас интересуют подробности, все это описано в статье Работа со 154 миллионами записей в хранилище таблиц Azure — история Have I Been Pwned

Сохраняет ли служба уведомлений адреса электронной почты?
Да, это необходимо, чтобы отслеживать, с кем связаться, если они будут обнаружены в последующей утечке данных. Сохраняется только адрес электронной почты, дата подписки и случайный токен для проверки.

Откуда мне знать, что сайт не просто собирает искомые адреса электронной почты?
Нет, но это не так.Сайт просто предназначен для того, чтобы быть бесплатной службой для людей, чтобы оценить риск в отношении их учетной записи, уличенной в взломе. Как и в случае с любым веб-сайтом, если вас беспокоят намерения или безопасность, не используйте его.

В 2019 году Хант рассказал своим читателям о проекте «Шпицберген» — название, которое он связал с будущим Have I Been Pwned. Короче говоря, Хант планировал передать управление HIBP «структуре с лучшими ресурсами и лучше финансируемой», когда понял, что однажды он сгорит.Эта новость могла стать тревожным сигналом для тех, кто доверял сайту все эти годы, поскольку всегда есть опасения монетизации сервиса или неправомерного использования данных теми, кто будет приобретать HIBP.

В то время Хант написал длинный и вдумчивый пост о проекте «Шпицберген», в том числе свои обязательства по HIBP из 7 пунктов, которые вы можете прочитать здесь. Вот tl;dr версия этого:

  • Свободно доступные поисковые запросы потребителей должны оставаться в свободном доступе.
  • Я (Трой Хант) останется частью HIBP.
  • Я хочу создать гораздо больше возможностей.
  • Я хочу охватить гораздо большую аудиторию, чем сейчас.
  • Можно сделать гораздо больше, чтобы изменить поведение потребителей.
  • Организации могут получить гораздо больше пользы от HIBP.
  • Должно быть больше информации и больше данных.

Но в марте 2020 года что-то изменилось. Согласно непредвиденным событиям, произошедшим в последнюю минуту, продажа HaveIBeenPwned была остановлена.Как писал Хант:

«Have I Been Pwned больше не продается, и я буду продолжать управлять им самостоятельно. “

Были ли

вы pwnd? Вот что делать

Хотя важно знать, произошла ли утечка ваших личных данных или учетных данных, гораздо важнее действовать в соответствии с этим. Что теперь делать, узнав, что ваш аккаунт взломан?

Для начала смените пароль. Сделайте его длиннее. Это не обязательно должна быть сложная строка из символов верхнего и нижнего регистра, символов и цифр.Длины достаточно, в соответствии с рекомендациями NIST 2021 года. Вы можете сформулировать свой собственный длинный пароль или воспользоваться помощью менеджера паролей.

Наконец, используйте двухфакторную аутентификацию (2FA), чтобы добавить уровень защиты вашей учетной записи. Мы настоятельно рекомендуем использовать приложение с одноразовым паролем (OTP) или если у вас есть физический аппаратный ключ, такой как Yubikey, тем лучше. Обратите внимание, что некоторые известные компании, такие как Facebook, уже начали предоставлять своим пользователям возможность использовать аппаратный ключ.Поэтому, если вы хотите сделать это, проверьте, предлагает ли ваш поставщик онлайн-услуг это, и воспользуйтесь этим.

Берегите себя!

Родственные

Меня обманули? Что делать после взлома пароля

Если ваша электронная почта или пароль были взломаны, это означает, что безопасность вашей учетной записи была нарушена. Если вы используете один и тот же пароль для нескольких учетных записей и приложений, возможно, несколько ваших учетных записей были скомпрометированы.

В зависимости от характера этих приложений и учетных записей последствия могут быть катастрофическими. Имея правильную информацию, кибер-злоумышленник может начать финансовую атаку на вас или ваш бизнес. В худшем случае злоумышленник может даже украсть вашу личность.

Эта статья поможет вам понять последствия заблокированных паролей и электронной почты, а также какие действия должны предпринять компании, когда их данные станут известны во время взлома. Чтобы помочь вам защитить вашу компанию от рисков, связанных с взломанными паролями и адресами электронной почты, мы рекомендуем интегрировать SolarWinds ® Identity Monitor в ваши повседневные операции.Этот удобный, масштабируемый и сложный инструмент может помочь предотвратить захват учетных записей, уведомить вас о раскрытии учетных данных, контролировать электронную почту в частном порядке и на нескольких доменах и сократить время отклика.

Вы можете бесплатно попробовать Identity Monitor, воспользовавшись их онлайн-инструментом для проверки своей экспозиции . Просто введите свой адрес электронной почты, чтобы провести проверку на нарушение пароля и узнать, не подвергался ли ваш адрес электронной почты каким-либо известным взломам. Результаты покажут, был ли адрес электронной почты раскрыт в последний раз, и общее количество личных записей, которые были раскрыты.

Что это значит, если меня обманули?

Слово «pwned» имеет удивительное происхождение в культуре видеоигр и является производным от слова «принадлежит», что объясняется близостью клавиш «p» и «o» на клавиатуре компьютера. Pwned обычно используется для обозначения того, что кто-то каким-то образом скомпрометирован или находится под контролем. Например, кто-то может быть арестован за утечку данных.

В этом контексте ваша учетная запись обычно является одной из многих, которые были скомпрометированы.В некоторых случаях во время одной утечки данных происходит утечка миллионов адресов электронной почты и паролей. Не так много лет назад утечка данных, которая скомпрометировала данные нескольких миллионов человек, считалась бы большой новостью. Однако в последние годы нарушения, затрагивающие сотни миллионов людей, стали слишком частыми.

Некоторые из крупнейших утечек данных 21-го века произошли в таких известных компаниях, как Adobe ® , LinkedIn ® , eBay ® , Equifax ® и Yahoo ® .Adobe пострадала от самой крупной на сегодняшний день утечки, когда в 2013 году было затронуто более 153 миллионов пользовательских записей, в том числе три миллиона зашифрованных записей кредитных карт клиентов. После нескольких недель исследований Adobe обнаружила, что взлом также раскрыл имена клиентов, идентификаторы, пароли и информацию о дебетовых и кредитных картах. Это привело к тому, что Adobe была вынуждена выплатить 1,1 миллиона долларов в качестве судебных издержек и нераскрытую сумму пользователям для урегулирования претензий о недобросовестной деловой практике.

Последствия утечки данных

Одним из наиболее серьезных последствий раскрытия данных в виде взломанного электронного письма или взломанного пароля является кража личных данных .Кража личных данных может случиться с кем угодно и привести к серьезным проблемам. Это может включать в себя повреждение вашего кредитного рейтинга и лишение вас права на получение кредита. Злоумышленник также может опустошить ваш банковский счет или задержать возврат налога, и это лишь некоторые из возможных последствий. В самых крайних случаях кражи личных данных кибер-злоумышленник может совершить преступление от вашего имени и незаконно арестовать вас. Доказывание того, что вы не были лицом, ответственным за рассматриваемые преступления, может быть сложным процессом.

Кража бизнес-личности — это уникальный тип кражи личных данных, который в основном применяется к владельцам бизнеса, директорам, должностным лицам или ключевым руководителям.В зависимости от вашей роли в компании вы можете подвергаться большему риску, чем средний потребитель, потому что ваша личная информация, финансы и кредит настолько тесно связаны с бизнесом. Это может сделать вас главной целью, потому что ваши конфиденциальные данные, вероятно, более ценны для кибератак.

Если вы владелец малого бизнеса, ваша личная и деловая идентичность могут быть фактически синонимами, а это означает, что все, что влияет на вашу компанию, оказывает прямое влияние и на вас.Несмотря на распространенное заблуждение, что малый бизнес редко становится мишенью киберпреступников, малый бизнес часто считается легкой мишенью для злоумышленников. Это связано с тем, что, в отличие от более крупных организаций, они с меньшей вероятностью смогут позволить себе продвинутые системы безопасности корпоративного уровня. Малые предприятия также реже, чем более крупные компании, используют и применяют надежные политики паролей, что значительно облегчает киберпреступникам подбор паролей учетных записей.

Если вы являетесь владельцем бизнеса, должностным лицом, директором или ключевым руководителем, заблокированные пароли и электронные письма могут лишить вас возможности:

  • Расчет заработной платы
  • Выполнение налоговых обязательств
  • Оплата счетов
  • Приобретение необходимого оборудования или расходных материалов
  • Демонстрация соблюдения правил

В результате любого из этих действий вы можете быть вынуждены уволить сотрудников, оплатить деловые обязательства из личных средств, оплатить судебные издержки или резко сократить свой бизнес.

Как владелец малого бизнеса, взломанные пароли и электронные письма могут раскрыть данные, которые также могут привести к личным обязательствам. Это связано с тем, что для большинства бизнес-кредитов, кредитных линий и кредитных карт требуется личная гарантия от одного или нескольких владельцев компании. Если ваш бизнес не в состоянии произвести необходимые платежи, вы можете быть привлечены к личной ответственности. Похитители деловых данных часто используют личную информацию владельца бизнеса для открытия новых кредитных линий или в качестве личной гарантии для крупных покупок и новых счетов.Неоплаченные долги, связанные с мошенническими учетными записями, могут быть отправлены коллекторам, которые будут считать вас ответственными за корпоративный долг до тех пор, пока вы не сможете доказать, что он был мошенническим.

Еще одним печальным последствием утечки данных является сбой в бизнесе. Многие компании, особенно небольшие компании, работают с низкой маржой и не могут выдержать значительных убытков. В зависимости от серьезности нарушения и того, как используются ваши данные, ваш бизнес может стать неплатежеспособным и не сможет продолжать работу.Это может иметь разрушительные последствия для вашего дохода и финансового будущего.

Утечка данных — один из неприятных побочных продуктов цифровой эпохи. Хотя утечка данных не обязательно происходит по вине какого-либо человека, безусловно, существуют меры, которые можно предпринять для снижения риска их возникновения.

Зашифрованные пароли и заблокированная электронная почта: что вы можете сделать?

Во-первых, постарайтесь не паниковать. Хотя утечка ваших данных может вызывать беспокойство, важно помнить, что крупномасштабные утечки данных происходят регулярно, что дает вам хотя бы некоторое время, чтобы действовать и предотвратить дальнейший ущерб.Помните, что получение доступа к вашим данным — это только начало кибератаки. Главное — действовать до того, как хакер воспользуется вашими данными для собственной выгоды. Вот три вещи, которые вы можете сделать в случае взлома паролей и адресов электронной почты.

1.   Измените свой пароль

Если вас взломали, смените пароль как можно скорее . Чтобы узнать, была ли утечка пароля в прошлом, попробуйте обратиться к «Have I Been Pwned». Этот сайт позволяет вам безопасно подтвердить, был ли ваш пароль или адрес электронной почты скомпрометирован в прошлом.

При выборе нового пароля эксперты по безопасности рекомендуют использовать длинные парольные фразы вместо случайной последовательности букв, специальных символов и цифр. Кроме того, многие сайты поддерживают многофакторную проверку подлинности (MFA), иногда называемую двухэтапной проверкой подлинности или двухфакторной проверкой подлинности. MFA просит вас предоставить два или более доказательства вашей личности, чтобы получить доступ к учетной записи. Популярная форма MFA сочетает в себе пароль с кодом, отправляемым на мобильное устройство или учетную запись электронной почты пользователя.Использование MFA настоятельно рекомендуется везде, где это возможно.

2.   Выберите уникальный пароль

Исследования показали, что люди, которые используют уникальный пароль для каждой своей учетной записи, имеют гораздо меньше шансов быть взломанными. Несмотря на это, исследование 2013 года показало, что более половины людей использовали одни и те же пароли для всех своих учетных записей. Это означает, что если хакеру удастся получить ваш пароль, он получит доступ ко всем вашим учетным записям, предоставляя им кладезь информации.

Проблема использования уникального пароля для каждой учетной записи заключается в том, что у большинства онлайн-пользователей есть десятки учетных записей.Запомнить все эти пароли может быть почти невозможно, и здесь в игру вступают инструменты управления паролями. Менеджер паролей может предлагать надежные пароли и надежно хранить их для вас. Некоторые менеджеры паролей могут даже автоматически заполнять их, когда вы хотите войти в систему. Хотя существуют определенные риски безопасности, связанные с использованием менеджера паролей, они зарекомендовали себя как один из самых безопасных и простых способов хранения учетных данных для входа.

3.   Усильте свою кибербезопасность

К сожалению, вы как личность ничего не можете сделать, чтобы предотвратить крупномасштабные нарушения.Однако есть способы улучшить собственную защиту от киберугроз. Электронная почта является одним из наиболее распространенных векторов атак, поскольку позволяет киберпреступникам распространять вредоносное ПО с минимальными усилиями с их стороны. Даже опытные пользователи компьютеров и электронной почты могут быть обмануты особенно убедительным спам-письмом, и достаточно одной ошибки, чтобы вас забанили. Один из способов снизить риск компрометации вашей электронной почты — заблокировать нежелательных отправителей и отказаться от подписки на нежелательные электронные письма. Инструменты массовой очистки электронной почты могут помочь в этом.

Избегайте взлома

Есть несколько вещей, которые вы можете сделать, чтобы избежать взлома электронной почты и паролей, и большинство из них не требуют от вас каких-либо специальных или технических навыков.

1. Поддерживайте актуальность приложений и устройств

Незащищенные приложения и устройства с устаревшим программным обеспечением могут предоставить хакерам доступ к вашей системе. Один из самых простых способов избежать блокировки — убедиться, что все ваши приложения и устройства обновлены.Хотя многие приложения и устройства обновляются автоматически, эти автоматические обновления не совсем надежны. Чтобы удостовериться, что ваша система обновлена, мы рекомендуем использовать средство проверки обновлений, которое помечает все пропущенные приложения или устройства.

При обновлении приложений и устройств также обязательно проверяйте устройства Интернета вещей (IoT). Это может быть интеллектуальный дверной замок, беспроводная камера видеонаблюдения или подключенный к Интернету термостат.

Наконец, убедитесь, что ваше решение для защиты от вредоносных программ работает должным образом и соответствует всем вашим требованиям.Если вы не удовлетворены своим текущим решением, на рынке доступно множество решений для защиты от вредоносных программ, которые являются доступными и комплексными.

2.   Обеспечьте безопасность своей электронной почты

Сообщения электронной почты являются распространенным источником мошеннических действий и вредоносных программ, поэтому очень важно, чтобы вы придерживались привычек защиты электронной почты. Это включает в себя пристальное внимание ко всем электронным письмам, которые вы получаете. Если что-то выглядит подозрительно, электронное письмо может содержать вредоносное ПО. Если вы не уверены, безопасно ли электронное письмо, рассмотрите следующее:

  • Вы знаете отправителя?
  • Если да, то считаете ли вы нормальным, что они отправили вам электронное письмо?
  • Строка темы выглядит законной?

Если ответ на любой из этих вопросов «нет», электронное письмо, скорее всего, является мошенничеством.Если вы все еще сомневаетесь, проверьте адрес электронной почты и строку темы, чтобы узнать, сможете ли вы получить какую-либо дополнительную информацию. Если, например, электронное письмо якобы отправлено от компании, введите название компании в поисковую систему и подтвердите, настоящее ли оно. Если компания существует, найдите ее контактные данные и сравните домен адреса электронной почты с адресом электронной почты отправителя. Мошеннические электронные письма часто используют вариант подлинного адреса, чтобы убедить получателя в том, что электронное письмо было отправлено законной компанией или частным лицом.

Монитор идентификации SolarWinds

SolarWinds Identity Monitor — это инструмент мониторинга подверженности утечкам, который может помочь вам снизить риск взлома паролей и электронной почты, а также помочь вам быстро и эффективно реагировать на раскрытие учетных данных.

Identity Monitor позволяет вам создать список наблюдения за раскрытием учетных данных, чтобы вы могли постоянно отслеживать свои домены электронной почты на предмет раскрытия. Затем этот инструмент уведомляет вас всякий раз, когда ваши учетные данные обнаруживаются в результате утечки данных, и позволяет принудительно сбросить пароль для любых учетных записей, подверженных риску.Identity Monitor также предоставляет рекомендации по исправлению, когда ваши данные раскрываются, поэтому вы можете предпринять соответствующие шаги как можно быстрее.

В дополнение к мониторингу раскрытия адресов электронной почты, Identity Monitor также может отслеживать IP-адреса на наличие возможных вредоносных программ, информируя вас, когда ваш IP-адрес появляется в ботнетах и ​​взломах. Еще одним преимуществом Identity Monitor является то, что он позволяет отслеживать личные учетные данные электронной почты ключевых сотрудников, помогая предотвратить попытки хакеров завладеть учетными записями сотрудников.

Identity Monitor — это удобный и всеобъемлющий инструмент, который настоятельно рекомендуется. Если вы хотите попробовать, вы можете проверить доступность вашего адреса электронной почты здесь.

Защита от взлома

Если у вас когда-либо был взломан пароль или адрес электронной почты, то вы один из многих. Огромное количество людей ежедневно становятся жертвами крупномасштабных утечек данных, и еще больше людей становятся жертвами электронных спамеров. Выполнение советов из этой статьи — хорошая отправная точка для защиты себя от взлома.

Добавить комментарий

Ваш адрес email не будет опубликован.