1 Punkte von GN⁺ 2023-12-05 | 1 Kommentare | Auf WhatsApp teilen
  • Have I Been Pwned (HIBP), das Troy Hunt am 4. Dezember 2013 veröffentlichte, begann als persönliches Projekt, mit dem man per E-Mail prüfen konnte, ob man von einem Leak betroffen ist, und wurde zehn Jahre später zu einer Sicherheitsinfrastruktur, auf die Privatpersonen, Unternehmen und Behörden angewiesen sind
  • Es war eine Entscheidung, die auch daraus entstand, dass sich eine gewöhnliche .com-Domain schwer bekommen ließ und das Projekt ohnehin nicht als etwas Langfristiges gedacht war, doch das Wort pwned ist heute stark mit HIBP verknüpft
  • Durch Medienaufmerksamkeit, eine Aussage vor dem US-Kongress, die Zusammenarbeit mit Strafverfolgungsbehörden wie dem FBI und der britischen NCA sowie die Einführung von Pwned Passwords reicht die Rolle von HIBP inzwischen weit über eine einfache Suchseite hinaus
  • Das 2019 gestartete Verkaufsprüfungsprojekt Project Svalbard entstand unter persönlichem Stress und wegen der Frage nach der Abhängigkeit vom Dienst, scheiterte jedoch, und Hunt bestätigte für sich erneut, wie wichtig ihm seine Unabhängigkeit ist
  • Auch künftig werden Datenlecks voraussichtlich weiter zunehmen; HIBP soll organisatorisch zwar formeller werden, aber nicht zu einer großen Organisation mit Belastungen anwachsen, die Hunt nicht möchte

Von einem kleinen Projekt zu einer 10-jährigen Infrastruktur

  • Am 4. Dezember 2013 stellte Troy Hunt den Dienst mit einem Tweet vor, dass „Have I Been Pwned?“ nun laufe
  • Bereits am nächsten Tag veröffentlichte er in einem Blogbeitrag, wie er 154 Millionen Datensätze schnell durchsuchbar gemacht hatte, und Beiträge mit dem HIBP-Tag summieren sich bis zum Artikel zum 10. Jubiläum auf 185
  • Der Rückblick zum 10. Jubiläum behandelt gemeinsam, wie der Dienst aufgebaut wurde, operative Entscheidungen, verschiedene Sicherheitsvorfälle und einige Erfahrungen, über die er bislang nicht öffentlich gesprochen hatte

Warum gerade „Pwned“?

  • Bei der Namenswahl spielte die Realität eine Rolle, dass man für gewöhnliche englische Namen schwer eine .com-Domain bekommt, und auch die Erwartung, dass das Projekt lange bestehen würde, war nicht besonders groß
  • pwned wurde zunehmend fast zu einem Synonym für HIBP, und viele Menschen begegnen dem Wort erstmals im Kontext von „Have I Been...“
  • Auch in Materialien, die online die Bedeutung von „pwned“ erklären, taucht HIBP, das Hunt 2013 geschaffen hat, als Beispiel auf
  • Weil der Name oft falsch ausgesprochen oder vertippt wird, besitzt Hunt mehrere Varianten-Domains
    • haveibeenpaened.com
    • haveibeenpwnded.com
    • haveibeenporned.com
    • haveibeenprawned.com
    • haveibeenburned.com
    • haveigotpwned.com
    • haveibeenrekt.com
    • haveibeenfucked.com

Medienpräsenz und Traffic-Schocks

  • Immer wenn Datenlecks es in die Mainstream-Nachrichten schaffen, wird HIBP häufig als der Ort erwähnt, an dem man prüfen kann, ob man betroffen ist
  • Die Medienpräsenz steigerte zwar den Bekanntheitsgrad, verursachte aber auch so viel Traffic, dass der Dienst 2016 nach der Ausstrahlung der britischen Martin Lewis Money Show offline ging
    • Aus dieser Erfahrung zog Hunt Lehren für den Umgang mit starken Traffic-Spitzen und traf Maßnahmen, damit sich so etwas nicht wiederholt
  • 2018 nannte Gizmodo HIBP neben Wikipedia, Google und Amazon als eine der „100 Websites, die das Internet geprägt haben“
  • 2014 nahm TIME HIBP in die Liste der 50 besten Websites des Jahres auf
  • Auch in zahlreichen großen Medien wie The Wall Street Journal, The Standard, USA Today, Toronto Star, De Telegraaf, VG, Le Monde und Corriere della Sera wurde HIBP aufgegriffen

Aussage vor dem US-Kongress

  • Hunt sagte vor etwa sechs Jahren im Congress der USA darüber aus, welche Auswirkungen Datenlecks auf die Identitätsprüfung haben
  • Da es sich um eine öffentliche Anhörung handelte, blieb das Video der Aussage als Aufzeichnung erhalten
  • Diese Erfahrung, Fragen von Abgeordneten zu beantworten, blieb für Hunt einer der einprägsamsten Momente seiner Karriere
  • Ein Foto von damals hängt heute an der Wand vor seinem Büro und erinnert ihn immer wieder daran, wie HIBP ihn an diesen Punkt gebracht hat

Project Svalbard und der gescheiterte Verkauf

  • Im Juni 2019 machte Hunt die Möglichkeit eines Verkaufs von HIBP unter dem Namen Project Svalbard öffentlich
  • Einer der wichtigsten Gründe für diese Entscheidung war damals Stress, und mehr als ein Jahr später erklärte er, dass eine bedeutende Ursache dieses Stresses seine Scheidung gewesen sei
  • Beziehungsprobleme erzeugten großen Druck, und Hunt dachte, der Verkauf eines Projekts, das er liebte, das aber immer mehr Anforderungen stellte, könnte ein Ausweg sein
  • Project Svalbard führte stattdessen sogar zu einem Rechtsstreit mit seiner Ex-Frau, wobei der mutmaßliche Wert bei einem Verkauf Teil des Konflikts wurde
  • Während Gesprächen mit mehreren Technologieunternehmen in San Francisco über eine mögliche Übernahme fragte ein potenzieller neuer Vorgesetzter nach Hunts „perfektem Bürotag“, woraufhin ihm klar wurde, wie wichtig ihm seine Unabhängigkeit ist
  • Sechs Monate später endete Project Svalbard, nachdem ein bereits vereinbarter Deal platzte
    • Die genauen Umstände könne er wegen einer NDA nicht nennen; öffentlich sprach er von „veränderten Geschäftsbedingungen auf Käuferseite“
    • Rückblickend meint Hunt, er habe vieles verloren, sei über dieses Ergebnis aber sehr erleichtert

FBI, NCA und die Zusammenarbeit mit Strafverfolgungsbehörden

  • Für den Hunt von vor zehn Jahren wäre es unerwartet gewesen, dass das FBI einmal öffentlich mit HIBP in Verbindung gebracht würde
  • Das FBI liefert Daten an HIBP, ebenso die britische NCA und verschiedene Strafverfolgungsbehörden weltweit
  • Auch Regierungen mehrerer Länder sprechen inzwischen öffentlich über ihre Nutzung von HIBP
  • ABC bezeichnete HIBP und Hunts Rolle im September 2023 als „seltsames Zeichen der Zeit“ und urteilte, dass „ein einzelner Mensch im Web“ eine überraschend zentrale Rolle in der globalen Cybersicherheit eingenommen habe
  • Das Ziel von HIBP ist es, „nach einem schlimmen Ereignis etwas Gutes zu tun“, was sich auch mit dem Anliegen von Strafverfolgungsbehörden deckt, Menschen zu schützen
  • Hunt sagt, vor zehn Jahren habe er noch nicht verstanden, wie oft Strafverfolgungsbehörden gemeinsam mit Privatunternehmen arbeiten, um Menschen zu schützen; heute pflegt er produktive Beziehungen zu vielen Personen in diesen Behörden

Das Wachstum von Pwned Passwords

  • Ursprünglich war nicht geplant, Passwörter in HIBP aufzunehmen, denn Hunt wollte vermeiden, dass Passwörter neben Benutzernamen erscheinen
  • Eine Liste geleakter Passwörter, getrennt von personenbezogenen Daten, erschien ihm jedoch als eine Möglichkeit, kompromittierte Daten zu einem guten Zweck zu nutzen
  • 2017 wurde Pwned Passwords eingeführt
  • Im September 2023 verzeichnete Pwned Passwords 282 Millionen Anfragen pro Tag, und über 30 Tage hinweg lag die Gesamtzahl bei mehr als 6 Milliarden
  • Laut den zum Zeitpunkt des Rückblicks neuesten Zahlen verarbeitete der Dienst in einer Woche 301,6 Millionen Anfragen pro Tag, und 100.0000000000% dieser Anfragen wurden aus dem Cloudflare-Cache bedient
  • Der Dienst ist kostenlos, erfordert keine Authentifizierung, und sowohl Code als auch Daten sind Open Source; außerdem liefert das FBI Daten zu
  • Hunt ist überzeugt, dass bei groß angelegten Credential-Stuffing-Angriffen auf Online-Dienste ein erheblicher Teil der übernommenen Konten Passwörter verwendet, die man hätte blockieren können

Das Paradox der Verarbeitung kompromittierter Daten

  • HIBP trägt das Paradox in sich, mit geleakten Daten als Produkt von Kriminalität zu arbeiten und zugleich einen öffentlichen Nutzen zu erfüllen
  • Manche Menschen sagen, sie würden ihn wegen des Besitzes gestohlener Daten beim FBI melden, doch Hunt arbeitet bereits mit dem FBI zusammen
  • Es gab auch Kritik mit Verweis auf Datenschutzgesetze, insbesondere in der EU und auf die DSGVO, wonach Daten ohne Einwilligung verarbeitet würden
  • Hunt entgegnet, dass ohnehin niemand einer Aufnahme in ein Datenleck zustimmt und dass das Leak selbst und die Frage, ob HIBP es indexiert und durchsuchbar macht, zwei unterschiedliche Diskussionen sind
  • Über zehn Jahre hinweg hielten sich Beschwerden insgesamt in Grenzen; pro Jahr ließen sich die Fälle an einer Hand abzählen
  • Formelle Beschwerden über staatliche Datenschutzaufsichtsbehörden gab es in zehn Jahren genau eine, und sie wurde nach Hunts Antworten abgeschlossen

Menschen und Betriebsstruktur

  • HIBP begann zunächst als Hobbyprojekt, in das Hunt allein Zeit investierte
  • Zu den frühen Arbeiten gehörten der Aufbau des Dienstes, die Beschaffung von Leak-Daten, deren Verifizierung, Veröffentlichung, das Schreiben von Erklärungen und die eigenhändige Bearbeitung von mehr als 700 Logos
  • Inzwischen ist HIBP zu einem wichtigen Teil des Internets geworden, von dem viele Privatpersonen, Unternehmen und Behörden abhängen, wodurch die Abhängigkeit von Hunt als Einzelperson zu einem größeren Problem wurde
  • Auch hinter den Verkaufsüberlegungen 2019 stand teilweise die Struktur, dass alles „an nur einer Person, Hunt, hängt“
  • Es hätte die Möglichkeit gegeben, wie ein gewöhnliches Unternehmen Mitarbeitende einzustellen und zu wachsen, doch Hunt findet Verantwortlichkeiten wie Arbeitsverträge, Gehaltsverhandlungen, Leistungsbeurteilungen, Krankentage und Urlaub wenig attraktiv
  • Die Rolle von Charlotte

    • Anfang 2021 begann Charlotte, die später seine Frau werden sollte, bei HIBP zu arbeiten
    • Charlotte war acht Jahre lang Projektmanagerin der in Norwegen ansässigen NDC-Konferenz und arbeitete dort mit Softwareentwicklern, Vortragenden, Teilnehmenden, Sponsoren und Unternehmensgästen
    • Sie ist nicht für die Technik zuständig, hatte aber Abschlüsse in PR und Entrepreneurship und war mit der technischen Welt, in der sich HIBP bewegt, bestens vertraut
    • Charlotte übernimmt das Onboarding von Unternehmenskunden, Support-Tickets für API- und Domain-Abonnenten sowie Buchhaltung und Steuerthemen
  • Die Rolle von Stefán Jökull Sigurðarson

    • Anfang 2023 stieß Stefán Jökull Sigurðarson in Teilzeit dazu und übernahm verschiedene Entwicklungsaufgaben wie das Schreiben von Code, Aufräumarbeiten und Migrationen
    • Stefán verfolgte den Dienst seit dem Start von HIBP und entwickelte Anfang 2018 bei EVE eine der ersten größeren Integrationen der PwnedPasswords-v2-API
    • Er sieht HIBP als Teil seiner Laufbahn im Bereich öffentlicher Vorträge, seiner Open-Source-Beiträge, seiner Rolle als MVP und seines Weges, zu einem sichereren Internet beizutragen
    • Für Hunt ist wichtig, dass HIBP für Stefán nicht nur ein Job, sondern auch eine Leidenschaft ist

Prägende Datenlecks

  • In zehn Jahren wurden 731 Leaks in HIBP aufgenommen
  • Ashley Madison

  • Collection #1

    • Anfang 2019 erhöhte dieser Vorfall Hunts Stress erheblich und beeinflusste auch die Entscheidung, einen Verkauf des Dienstes in Betracht zu ziehen
    • Mit 773 Millionen Datensätzen ist es bis zum Zeitpunkt des Rückblicks das größte Leak in HIBP
  • Rosebutt

    • Ein Beispiel dafür, dass selbst schwere Datenlecks manchmal auch absurde Momente mit sich bringen können
  • Shit Express

    • Hier wurde eine Website kompromittiert, über die anonym Stücke von Exkrementen verschickt werden konnten, wodurch ihre Anonymität ins Wanken geriet
    • Hunt schrieb später, dass Behauptungen über Anonymität oft sehr irreführend seien

Die Richtung für die Zukunft

  • Hunts Alltag ähnelt dem Muster, morgens E-Mails und Ereignisse über Nacht zu prüfen und sich dann nach dem zu richten, was der Tag jeweils verlangt
  • Diese Art des Betriebs hängt auch damit zusammen, warum er nicht möchte, dass HIBP zu einer Organisation mit noch größeren Verantwortlichkeiten anwächst
  • Gleichzeitig wird HIBP schrittweise immer formeller aufgestellt
    • Vor drei Jahren erledigte Hunt noch 100 % aller Aufgaben selbst
    • Vor einem Jahr machte er noch sämtliche technischen Arbeiten allein
    • Vor sechs Monaten gab es noch kein Ticket-System für den Support
  • Hunt hofft, dass HIBP ihn überdauert, möchte aber zugleich nicht, dass es auf dem Weg dorthin zu einer Belastung wird, die ihn bindet
  • Er geht davon aus, dass künftig noch mehr Datenlecks auftreten werden, und hat zuletzt den Eindruck, dass insbesondere Ransomware schnell zugenommen hat
  • Offen bleibt für ihn, ob Menschen bei den durch Ransomware veröffentlichten E-Mails, Dokumenten und anderen Daten überhaupt erfahren, dass ihre Informationen offengelegt wurden
  • Solche Daten zu indexieren ist aus mehreren Gründen nicht einfach, erscheint ihm aber zunehmend als wertvolle Arbeit

1 Kommentare

 
GN⁺ 2023-12-05
Meinungen auf Hacker News
  • Troy Hunt ist wirklich eine äußerst wertvolle Person, und als Entwickler von Webanwendungen gibt es keine Ausrede, keine Abwehr gegen Credential Stuffing zu implementieren.
    Das Beste ist wahrscheinlich Zwei-Faktor-Authentifizierung[1], aber ein Abgleich mit Hunts Datenbank gehashter Passwörter ist ebenfalls eine ziemlich gute Verteidigung, ohne die Nutzer zusätzlich zu belasten.
    Ich habe keine Belege dafür, aber ich gehe davon aus, dass die überwältigende Mehrheit kompromittierter Konten auf Credential Stuffing oder Passwort-Wiederverwendung zurückgeht. Es überrascht mich, wenn ich höre, dass große Unternehmen solche Prüfungen nicht durchführen; die Einrichtung ist zudem simpel und dürfte in etwa einem Tag machbar sein.
    Wenn man ein junger CTO oder ein früher Webapp-Engineer ist, kann es einem irgendwann passieren, dass um 1 Uhr morgens die Telefone heißlaufen, die Site unter Beschuss steht, man zuerst an DDoS denkt, dann aber merkt, dass der Großteil auf die Login-Seite zielt – und einem eiskalt wird, weil einige davon tatsächlich erfolgreich einloggen. Danach muss man die ganze Nacht reagieren und auch noch Breach-Benachrichtigungen verschicken; das ist wirklich quälend.
    Troy Hunts kostenlose Datenbank wird diesen Schmerz vermutlich verringern, also sollte man es einfach machen.

    1. https://cheatsheetseries.owasp.org/cheatsheets/Credential_St...
    2. Fälle wie 23andMe. https://news.ycombinator.com/item?id=37794379
    • Vor etwa zehn Jahren hörte ich auf einer Veranstaltung, bei der ein FBI-Mitarbeiter vortrug, die Geschichte eines Systemadministrators, der die Datenbank gehashter Passwörter seines Unternehmens nahm, sie mit bekannten geleakten Hashes abglich und Mitarbeitern, die wiederverwendete Passwörter nutzten, ein erzwungenes Zurücksetzen samt Hinweismail schickte – und daraufhin verhaftet wurde.
      Ein Mitarbeiter war empört und sah darin eine Verletzung der Privatsphäre; ich erinnere mich nicht mehr, wer die rechtlichen Schritte einleitete. Die Schlussfolgerung von FBI-Mitarbeiter und Richter war jedoch, dass bereits der Zugriff des Systemadministrators auf die ihm anvertrauten Passwort-Hashes als kriminelle Verletzung der Privatsphäre zu werten sei, selbst wenn seine Absicht eine Verbesserung der Sicherheit war.
      Falls der FBI-Mitarbeiter das nicht erfunden hat, scheint es umsichtig, vor der Prüfung, ob Mitarbeiter-Passwort-Hashes in haveibeenpwned enthalten sind, eine Prüfung durch die Rechtsabteilung einzuholen.
    • Neben Zwei-Faktor-Authentifizierung ist Rate Limiting am Login-Endpoint nach IP-Adresse und Benutzername für diesen Angriff eine deutlich robustere Verteidigung.
      Zum Beispiel: Wenn es in der letzten Minute 20 fehlgeschlagene Login-Versuche von derselben IP oder mit demselben Benutzernamen gab, wird diese IP oder dieser Benutzername für 15 Minuten gesperrt. Viele API-Gateways, K8s-Ingresses usw. unterstützen das sehr einfach; falls nicht, kann man die Anzahl der jüngsten Login-Versuche in etwas wie Redis speichern und mit ein paar Zeilen Code anbinden.
      Ein Abgleich mit der HIBP-Datenbank ist ebenfalls eine gute Option, aber gegen diesen Angriff ist Rate Limiting deutlich effektiver.
    • Ich verstehe den Ablauf nicht ganz. Wenn die Datenbank gehashte Passwörter enthält, woher weiß ich, dass meine Site und die Datenbank denselben Salt und Hash-Algorithmus verwenden?
      Wenn zum Beispiel Tumblr gehackt wurde und mein Passwort hunter2 geleakt ist, Tumblr aber ein einfaches HMAC-MD5 mit Salt verwendet hat und meine Site selbstverständlich argon2 mit einem anderen Salt nutzt, dann unterscheiden sich die resultierenden Hashes selbst bei gleichem Passwort. Ich verstehe nicht, wie das gegen Credential Stuffing wirksam sein soll.
    • Wenn man ein neues Login-/Authentifizierungssystem von Grund auf baut, sollte man besser gar keine Passwörter entgegennehmen und in der Datenbank speichern.
      Es ist besser, Social OAuth, SSO oder Magic-Link-E-Mails einzurichten und das Problem anderen zu überlassen.
    • Ich verstehe nicht, warum man sich schuldig fühlen sollte, wenn ein Nutzer als Passwort 1234 verwendet.
      Wenn es keine Site ist, die sich an besonders gefährdete Menschen richtet, sehe ich das als Verantwortung des Nutzers. Wie in anderen Kommentaren erwähnt, werden solche Nutzer das Problem wahrscheinlich auf die einfachste Weise lösen, etwa mit 1234Websitename.
      Jede Einschränkung, die man in ein Passwortfeld einbaut, reduziert die Entropie und senkt, wenn auch nur minimal, die Sicherheit aller.
  • Ich erinnere mich, dass diese Site früher eine großartige Erfahrung bot, aber inzwischen fühlt sie sich wie eine Monetarisierungsmaschine an, bei der man 169,50 US-Dollar pro Jahr zahlen muss, um 100 geleakte Konten zu sehen.
    Ich nutze für jede Website eine eigene E-Mail-Adresse, um Datenlecks zu erkennen. Als ich nach Ergebnissen für eine Domain suchen wollte, deren Domainbesitz ich früher sogar verifiziert hatte, bekam ich die Fehlermeldung: „Um Domains mit mehr als 10 geleakten Konten zu durchsuchen, ist ein ausreichend großes Abonnement erforderlich.“
    Noch schlimmer ist, dass Troy sogar Sammlungen öffentlicher Daten als „Leaks“ einordnet und damit die Kontingente für die Anzahl der Konten künstlich aufbläht. Als zum Beispiel eine von GitHub gescrapte Sammlung öffentlicher Kontaktinformationen geleakt wurde, zählte das ebenfalls als Leak, obwohl meine E-Mail-Adresse ausdrücklich öffentlich angegeben war.
    Für einen solchen Low-Cost-Service wäre ich bereit, 5 bis 12 Dollar pro Jahr zu zahlen, aber der aktuelle Preis ist absurd.

    • Ich habe dasselbe erlebt und wünschte, es gäbe ein separates Preismodell für Leute wie uns. Vielleicht lohnt es sich, nachzufragen.
    • Wenn man die Datenbank aus dem DarkNet herunterlädt und lokal betreibt, muss man nichts bezahlen.
      Der Nachteil ist, dass man die Datenbank selbst verwalten und häufig aktualisieren muss. Ich habe gesehen, dass ziemlich viele solcher Monetarisierungsdienste entstehen, die gegen Gebühr API-Zugriff auf Datenbanken verkaufen.
    • Eine eigene E-Mail-Domain zu betreiben, für jede Site eine andere Adresse zu verwenden und sogar das Auftauchen der eigenen Domain in Leaks zu scannen, ist ein ziemlich spezieller Anwendungsfall.
      Es ist überzogen, diesen sehr konkreten Use Case für Troy Hunt als Cashcow zu betrachten.
    • Ich nutze dieselbe Methode und habe mich gefragt, warum ich seit Langem keine Leak-Benachrichtigungen mehr bekommen habe.
      Ich kann mich nicht erinnern, eine Benachrichtigung über diese Änderung gesehen zu haben.
    • Noch ein Beispiel für „Alles als Service“.
      Es ist ein mieses Freemium-Modell: Man startet mit einem guten Dienst, und sobald die Nutzung wächst, steckt man Funktionen hinter eine Paywall und reduziert den kostenlosen Dienst so weit, dass er praktisch nutzlos wird. Facebook ist zwar schlecht, aber so weit ist es nicht gegangen; „kostenloses Facebook“ hat nur mehr Tracking bekommen, funktional ist es ungefähr auf dem Stand von 2010 geblieben.
  • Varianten wie haveibeenburned.com, haveigotpwned.com, haveibeenrekt.com oder das von jemandem vorgeschlagene haveibeenfucked.com, nachdem bekannt wurde, dass PornHub dem Account folgt, sind als Nebenwirkung der Medienberühmtheit ziemlich lustig

    • Den Blog von PornHub mochte ich schon immer: https://www.pornhub.com/insights/
    • Die letzte Domain könnte als Revenge-Porn-Archiv interessant sein, aber die Verbreitung ist in vielen Rechtsordnungen illegal.
      Stattdessen könnte man vielleicht eine Datenbank mit Gesichtserkennungs-Hashes für Revenge Porn aufbauen und ähnliche Hashes des eigenen Gesichts hochladen, um zu prüfen, ob es irgendwo online auftaucht
    • Vor ein paar Jahren hatte ich ein befreundetes Paar, bei dem die Frau schwanger war, und sie schämten sich tatsächlich ein wenig dafür, dass „alle wissen werden, dass wir es getan haben“
      Das war eine völlig unerwartete Art von Peinlichkeit
    • Das ist ein Beweis dafür, dass die Regeln des Internets funktionieren. Von allem, was existiert, gibt es eine Porno-Version
  • Ich mag Hunts informative Beiträge wirklich sehr
    Ich erinnere mich, gelesen zu haben, wie man k-Anonymität nutzt, um Passwörter mit der pwned-Datei abzugleichen, ohne tatsächliche personenbezogene Daten zu übertragen; dadurch habe ich mich mit dem Konzept beschäftigt und es später auch in einem Arbeitsprojekt eingesetzt
    Manchmal frage ich mich, wie ich es gemacht hätte, wenn ich diese Artikel über Prüfungen ohne Übertragung echter personenbezogener Daten nicht gelesen hätte

  • Erpresserische Betrüger nutzen pwned-Passwortdatenbanken, um ziemlich überzeugende Phishing-Mails zu erstellen
    In etwa: „Ich habe ein Remote-Access-Tool auf deinem System installiert und dich über die Webcam beobachtet. Der Beweis für den Hack ist dieses Passwort. Schick BTC im Wert von 1800 Dollar an diese Adresse und geh nicht zur Polizei. Benutz beim nächsten Mal einen Passwortmanager.“ Ich frage mich, ob wirklich jemand auf solche Betrugsmaschen hereinfällt
    Die meisten dürften von Spamfiltern abgefangen werden; ich habe sie nur gesehen, wenn sie SPF/DKIM-Filter passiert hatten, und dann zum weiteren Training markiert. Wirkt ziemlich clever
    Für den Dienst selbst bin ich dankbar, und ich lese Troy Hunts Beiträge gern. HIBP ist großartig

    • Ein Familienmitglied rief an, weil es verunsichert war, ob diese E-Mail echt sei
      Es war kein altes Passwort enthalten, sondern die vollständige Postadresse und die letzten 4 Ziffern der Kreditkarte, und es gibt Leute, die das tatsächlich glauben
    • Die Abfrage von Pwned Passwords gibt nur die Anzahl der Leaks zurück, ohne Hash oder Klartextpasswort
      Mit dieser Funktion allein ist ein solcher Angriff nicht möglich
    • Ich weiß nicht, ob tatsächlich jemand darauf hereingefallen ist, aber ich habe schon gehört, dass Nutzer erschrocken zur IT-Abteilung rennen, um es prüfen zu lassen
      Ich habe solche E-Mails auch ein- oder zweimal bekommen, hatte aber keine Ahnung, auf welcher Website ich dieses ziemlich schwache Passwort verwendet hatte
    • Einmal bekam ich eine E-Mail, in der mein Passwort im Klartext stand, und das war ziemlich unangenehm
      Eine schnelle Suche ergab, dass es kein Passwort war, das ich an einer mir wichtigen Stelle verwendet hatte, also habe ich es abgehakt; obwohl ich wusste, dass es ein altes Passwort war, blieb es dennoch unangenehm
      Wenn ich keinen Passwortmanager genutzt hätte, hätte ich nicht sofort prüfen können, wo dieses Passwort verwendet wurde, und hätte mein Gedächtnis zermartern müssen; dieses Gefühl kann man sich kaum vorstellen
  • Der Einfluss von HaveIBeenPwned auf das Nutzerbewusstsein ist bemerkenswert
    Gleichzeitig hat SpyCloud einen 30-mal größeren Datensatz und arbeitet direkt mit Unternehmen zusammen, um Passwortwiederverwendung tatsächlich zu reduzieren, bekommt dafür aber gefühlt nicht genug Anerkennung
    Wenn du dich bei einer großen Website schon einmal einloggen wolltest und zu einem Passwort-Reset aufgefordert wurdest oder eine E-Mail bekommen hast, dass du ein mehrfach verwendetes Passwort ändern sollst, war im Hintergrund sehr wahrscheinlich SpyCloud beteiligt

    • Vielleicht war es nicht so gemeint, aber diese Formulierung klingt, als würde HIBP nicht direkt mit Unternehmen zusammenarbeiten, um Passwortwiederverwendung zu reduzieren
      Tatsächlich tun sie das. Zum Beispiel gibt es Kooperationen mit 1Password und anderen Passwortmanagern, Firefox, dem FBI sowie den Regierungen des Vereinigten Königreichs und Australiens
    • Einen kostenlosen Dienst, der Millionen von Menschen hilft, mit einem Unternehmen zu vergleichen, das für jede Nutzung ein Abo verlangt, ist kein Vergleich auf derselben Ebene
      Letzteres ist für die meisten Menschen überhaupt nicht nützlich
    • Ich vermute, dass durch die Integration von Troys kostenlosen pwned-Passwortdaten mehr Menschen tatsächlich ihre Passwortwiederverwendung reduziert haben, als SpyCloud Kunden hat
  • Wer auf Datenschutz achtet: Hier kann man seine eigenen Informationen aus der öffentlichen Suche entfernen
    https://haveibeenpwned.com/OptOut

    • Wenn meine E-Mail-Adresse weiterhin in Collection #1 oder der Anti Public Combo List steht, scheint es mir nicht viel zu bringen, sie aus HIBP entfernen zu lassen
      Wer mit E-Mail-Adressen Schindluder treiben will, lädt sich eher die vollständigen Originallisten herunter, statt eine Aggregationsseite zu scrapen
    • Ich frage mich, ob auch ein Ausschluss auf Domain-Ebene unterstützt wird
    • Allerdings muss man Google ReCaptcha lösen, was datenschutzbewussten Leuten nicht gefallen dürfte
      Zur Info: Dort steht, dass „der Administrator der Domain, zu der die E-Mail-Adresse gehört, dich in der Domain-Suche weiterhin sehen kann“
  • Ich frage mich, wie viele Stalking-Opfer in den letzten zehn Jahren erfahren haben, dass die Täter HaveIBeenPwned als einfaches Hilfsmittel genutzt haben, um Konten und private Informationen aufzuspüren und zu kompromittieren.
    Die Position der Website ist natürlich, dass Opfer sich vor der Nutzung des Dienstes durch böswillige Akteure anmelden und die Anzeige in Suchergebnissen deaktivieren sollten.
    Demnach ist es wichtiger, anderen Nutzern sofort nach Eingabe einer Adresse den Schock „Deine Daten sind da draußen!“ zu versetzen, als diese Information erst nach einer E-Mail-Verifizierung anzuzeigen und damit die Sicherheit der Nutzer zu erhöhen.

    • Wenn man eine E-Mail-Verifizierung einführt, könnten die Betriebskosten des Dienstes stark steigen und er möglicherweise nicht mehr tragfähig sein.
      Wenn jemand die E-Mail-Adresse einer Person hat: Braucht er dann wirklich HIBP, um herauszufinden, wo diese Adresse verwendet wurde? Liefert Google allein nicht schon viele Ergebnisse?
    • Stimme zu. Es ist sogar schlimmer, weil es Angreifern 90 % der Informationen gibt, die sie brauchen, den Opfern aber nicht sagt, welche Daten geleakt wurden.
      Ich würde gern den Hash sehen, um herausfinden zu können, welches Passwort kompromittiert wurde.
    • Kannst du genauer erklären, wie HIBP missbraucht werden kann? Es prüft doch nur, ob eine E-Mail-Adresse in einer Leak-Liste steht.
  • „Mit dem Jetski fahren und machen, worauf ich Lust habe“ – ist Troy Hunt etwa eine Mobius-Variante?

  • Ich frage mich, ob er schon einmal ausführlich über die konkreten Details der Scheidung geschrieben hat.
    Kann man davon ausgehen, dass sie wegen der 50-%-Aufteilung des Vermögens und der Klärung, wem was gehört, langwierig und teuer wurde?