Have I Been Pwned 2.0

 (troyhunt.com)
2 Punkte von GN⁺ 2025-05-20 | 1 Kommentare | Auf WhatsApp teilen
  • Der Dienst zur Überprüfung von Datenlecks Have I Been Pwned wurde vollständig neu aufgelegt
  • Zusammen mit einem neuen Design wurden die Funktionen der wichtigsten Webseiten umfassend geändert und verbessert
  • Die Suche ist nun deutlich intuitiver, und die Hinweise zur Kontoüberprüfung sowie zu verschiedenen Fällen von Datenpannen wurden ausgebaut
  • Verschiedene neue und verbesserte Funktionen wie ein Benutzer-Dashboard, Domainsuche und API-Dokumentation wurden hinzugefügt
  • Web-Performance und Sicherheit wurden auf einer modernen Cloud-Infrastruktur umgesetzt und bieten eine schnelle und sichere Nutzererfahrung

Einführung und Hintergrund

  • Have I Been Pwned (im Folgenden HIBP) 2.0 wurde nach langer Entwicklungszeit vollständig neu veröffentlicht
  • Nach dem ersten Commit im Februar 2023 sowie einem Soft-Launch und der Open-Source-Freigabe im März 2024 ist die Seite nun mit kompletter Neuentwicklung und neuer Markenidentität live gegangen
  • Die gesamte Seitenstruktur und Funktionalität wurden überarbeitet, und zusammen mit neuen Funktionen wurde auch ein Merchandise-Store eröffnet

Suchfunktion

  • Das zentrale Suchfeld auf der Startseite, die bekannteste Funktion von HIBP, wurde mit einer intuitiveren und frischeren Darstellung verbessert, einschließlich einer Konfetti-Animation
  • Um die User Experience nicht belastend zu machen, wurde bewusst auf eine schwere und negative Stimmung verzichtet; der Fokus liegt darauf, den Nutzern faktenbasierte, praktische Informationen bereitzustellen
  • Die Suche nach Benutzernamen und Telefonnummern wurde von der Website entfernt (in der API bleibt das bisherige Verhalten jedoch bestehen)
    • Die Suche auf Basis von E-Mail-Adressen eignet sich besser im Hinblick auf Parsing, Benachrichtigungen und Service-Konsistenz
    • Telefonnummern und Benutzernamen verursachen einen hohen Verarbeitungsaufwand und wurden aufgrund der geringen tatsächlichen Nutzung entfernt, um Verwirrung zu vermeiden

Seiten zu Datenpannenfällen

  • Für jede einzelne Datenpanne wurde eine eigene Detailseite neu bereitgestellt
  • Mit einem noch intuitiveren und ansprechenderen Layout als bisher werden konkrete, umsetzbare und auf den jeweiligen Fall zugeschnittene Hinweise zu Auswirkungen und Gegenmaßnahmen gegeben
  • In Zusammenarbeit mit anderen Organisationen (z. B. NCSC) sollen künftig zusätzliche regionale Informationen ergänzt werden
  • Künftig sollen weitere Details wie Unterstützung für 2FA, Passkeys und nutzerspezifische Leitfäden hinzukommen

Dashboard

  • Mehrere bisher getrennte Funktionen (Prüfung sensibler Datenpannen, Domain-Verwaltung, Abo-Verwaltung usw.) wurden in einem integrierten Dashboard zusammengeführt
  • Der Zugriff auf das Dashboard erfolgt auf Basis einer E-Mail-Verifizierung; künftig sollen auch neue Authentifizierungsverfahren wie Passkeys ergänzt werden
  • Es bietet Potenzial für den Ausbau zu einer Plattform mit künftigen Funktionen wie Benachrichtigungen für Familienkonten

Domainsuche

  • Die Funktion zur Domain-Verifizierung und -Suche wurde vollständig neu gestaltet und bietet nun eine deutlich aufgeräumtere UI sowie verschiedene Filter, etwa zur Anzeige nur der neuesten Lecks
  • Die Architektur ist eine vollständige Single-Page-App (SPA), und Suchergebnisse werden schnell als JSON über die API bereitgestellt
  • Auch der Prozess zur Bestätigung des Domain-Besitzes wurde neu vereinfacht
  • Andere Authentifizierungsmethoden außer E-Mail sollen später separat verbessert werden

API

  • Mit diesem Update gibt es überhaupt keine Änderungen oder Unterbrechungen an der API selbst
  • Für die API-Dokumentation wird die Einführung des OpenAPI-basierten Tools Scalar vorbereitet; aktuell bleiben jedoch die bestehenden Inhalte erhalten und wurden lediglich stilistisch vereinheitlicht
  • Später ist die Umstellung auf moderne Dokumentation auf Basis von Scalar geplant

Merchandise und Sticker

  • Der offizielle HIBP-Goods-Shop wurde eröffnet, und der Verkauf von Produkten wie T-Shirts hat begonnen (auf Basis von Teespring, ohne Marge)
  • Sticker werden weiterhin im Sticker Mule Store angeboten; die Artworks sind Open Source und können frei verwendet werden

Technik und Infrastruktur

  • Das Backend der Website basiert auf Microsoft Azure und nutzt unter anderem App Service, Functions, Hyperscale SQL und Storage
  • Die wichtigsten Web-Apps wurden in C# und .NET 9.0 sowie mit ASP.NET MVC (.NET Core) entwickelt
  • Cloudflare wird effektiv für WAF, Caching, Turnstile (Anti-Bot) und R2 Storage eingesetzt
  • Im Frontend wurde auf Basis von aktuellem Bootstrap, SASS und TypeScript eine moderne Benutzeroberfläche umgesetzt
  • Dank der Beiträge zentraler Mitglieder wie des in Island ansässigen Entwicklers Ingiber wurde eine hohe Qualität und eine elegante UI erreicht
  • Die Seitengröße und die Anzahl der Requests wurden jeweils um etwa 28 % bzw. 31 % reduziert, wodurch die Seite effizienter optimiert ist als noch vor 11 Jahren
  • Tracking, Werbedaten und andere unnötige Elemente wurden vollständig ausgeschlossen, der Schutz der Privatsphäre der Nutzer hat hohe Priorität

Einsatz von AI

  • Beim Rebuild der Website wurde Chat GPT aktiv genutzt, um verschiedenste Entwicklungsprobleme zu lösen, etwa bei CSS, Icon-Empfehlungen, Cloudflare-Konfigurationen und Besonderheiten von .NET Core
  • Durch die schnellen Vorschläge und die Code-Automatisierung von AI wurde eine deutlich höhere Produktivität erreicht
  • Besonders bei schneller Migration und Arbeitsautomatisierung zeigte sich eine hohe Genauigkeit und Nützlichkeit

Entwicklungsweg und Fazit

  • Auch unsichtbare Arbeiten wie die Aktualisierung juristischer Dokumente haben viel Zeit und Kosten verursacht
  • Vor und nach dem Launch wurden durch mehrere dringende Korrekturen und wiederholte Releases Probleme schnell behoben
  • Ohne die ursprüngliche Ausrichtung aus den Augen zu verlieren, wurde der Neustart vollzogen und dabei Fachlichkeit, Erweiterbarkeit und Benutzerfreundlichkeit des Dienstes bewahrt
  • HIBP ist seit 2013 das Ergebnis einer Leidenschaft, in die ein Viertel des Lebens investiert wurde, und mit Version 2.0 wird ein neuer Sprung als Community-Service erwartet

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-05-20
Hacker-News-Kommentare
  • Die Vorstellung, mit einer Kanzlei zu kooperieren, nach jedem durch Fahrlässigkeit verursachten Datenleck – also faktisch fast immer – Sammelklagen anzustoßen, dann mit Zahlungs- und Bankdiensten zusammenzuarbeiten, um Vergleichszahlungen direkt an Millionen Menschen auszuzahlen, und so zu einer Art modernen Held zu werden; betont wird, wie wichtig die Zusammenarbeit mit Anwälten wäre, die Firmen bei tatsächlicher Fahrlässigkeit wirklich schmerzhafte Urteile einhandeln können, und gewarnt wird, dass bloße Mini-Vergleiche nur weiter verantwortungsloses Management begünstigen könnten; optional wird sogar die Möglichkeit erwähnt, Daten über bevorstehende Klagen an Investmentfirmen zu verkaufen, und als Fernziel ein gesellschaftliches Klima gewünscht, in dem allein die Nachricht eines Datenlecks den Aktienkurs des betroffenen Unternehmens selbstverständlich belastet
    • Der Wunsch, bei jedem Vergleich sofort einen kleinen Betrag an einen guten Zweck spenden zu können, weil das die Motivation erhöhen würde, sich an Sammelklagen zu beteiligen
    • Ein Witz über den erwähnten Bankdienst und die Sorge, wie lange es wohl dauern würde, bis die in so einem System gespeicherten Daten selbst wieder geleakt würden
    • Die Sorge, dass ein solches System sogar kontraproduktiv sein könnte: Schon jetzt sei es schwierig genug, Unternehmen zur Offenlegung eines Lecks zu bewegen, und so eine Struktur würde nur das Risiko erhöhen und damit die Vermeidung von Offenlegung fördern; lieber wolle man wissen, ob die eigenen Daten geleakt wurden, um dann das Passwort zu ändern
    • Unmut darüber, immer noch auf Entschädigung von Blue Shield zu warten, weil persönliche Daten an Google verkauft wurden, verbunden mit der Aussage, den Dienst dennoch nutzen zu wollen
  • Erstaunen darüber, dass eine riesige Seite wie LinkedIn noch vor weniger als zehn Jahren Passwörter ohne Salt gespeichert hat, und die Frage, wie so ein Fehler heute überhaupt noch möglich sein kann
    • Die Erklärung, dass so etwas unbeabsichtigt leichter passieren kann, als man denkt: Aus Sicht einer Middleware ist das Feld password in JSON nur ein weiteres Feld, und wenn API- oder Logging-Systeme den gesamten Request-Body protokollieren, kann das reale Probleme verursachen; dass unsaltete Passwörter direkt in einem Passwortspeicher landen, sei zwar selten, aber etwa bei einem API-Gateway einer Android-App könne ein Flow wie „Passwort vergessen“ ähnliche Probleme verursachen, wenn dort sensible Daten nicht entsprechend behandelt werden – dazu eine Erfahrung aus der Praxis
    • Der scherzhafte Kommentar, solche Fehler entstünden, weil in Engineering-Interviews nicht genug Leetcode-Hard-Aufgaben gestellt würden
    • Der Hinweis, dass viel über AI Slop gesprochen werde, aber Outsourced Slop als Problem schon lange sehr real sei; bei LinkedIn könnten Ergebnisse von ausgelagerten Programmierern gut eine Hauptursache gewesen sein, so die erfahrungsbasierte Einschätzung; nur starke und kompetente Manager, die Qualitätsstandards setzen und verifizieren, könnten Produkte verhindern, die äußerlich ordentlich wirken, innen aber fragil sind
    • Die Vermutung, dass solche Fehler oft aus alten Altlastensystemen wie Legacy-Mainframes stammen, für deren Wartung oder Migration niemand Zeit oder Budget bekommt; je größer ein Unternehmen, desto stärker verkrusten kritische Systeme, und schon eine Stunde Ausfall gelte als Verlust in Millionenhöhe, was notwendige Arbeiten noch unmöglicher mache – ein strukturelles Problem
  • Die Einschätzung, dass es hervorragend ist, wenn viele normale Nutzer Have I Been Pwned regelmäßig verwenden und dadurch zu 1Password finden; die Promotion mit 1Password passe tatsächlich sehr gut, und der Vorschlag, den Bannertext auffälliger zu formulieren, etwa als „dringend empfohlen“; betont wird, dass der Großteil von Social-Account-Hacks auf Passwortwiederverwendung zurückgehe und dass Aufklärung zu sicheren Passwörtern und der Einstieg in Passwortmanager sehr positiv seien; dazu Glückwünsche zum Relaunch, verbunden mit dem Hinweis, im letzten Jahr bei über 20 echten Fällen bei der Problemlösung geholfen zu haben
  • Bewunderung für die beängstigend beeindruckende Funktion, alle Datenlecks mit Logos und Kurzbeschreibungen in einer vertikalen Scroll-Ansicht zu zeigen
    • Das Gefühl von Hilflosigkeit beim Blick auf Datenlecks und der resignierte Hinweis, dass man außer einem Kreditstopp kaum etwas tun könne
  • Die Frage, wer wohl den Rekord für die meisten Datenlecks hält; die eigene Haupte-Mail-Adresse sei bislang in 40 Lecks aufgetaucht, das älteste im Juni 2011 (HackForums, keine Erinnerung daran), das jüngste im September 2024 (FrenchCitizens, ohne jeden Frankreich-Bezug) – ein persönlicher Erfahrungsbericht
    • Die Antwort, dass jemand diesen Rekord um genau eins übertroffen habe
    • Der verblüffende Hinweis, dass die E-Mail-Adresse john@yahoo.com in unglaublichen 322 Datenlecks auftauchte
  • Der Tipp, dass es für mehr Privatsphäre eine Opt-out-Funktion gibt, mit der man Suchergebnisse zur eigenen E-Mail im Dienst verbergen kann
  • Der Wunsch nach einer Funktion, mit der sich wegen vieler E-Mail-Aliasse nicht jede Adresse einzeln suchen lässt, sondern alles auf einmal per Domain durchsucht werden kann
    • Der Hinweis, dass man unter „The Domain Search Feature“ nach Verifizierung des Domainbesitzes alle Ergebnisse auf einmal sehen kann
  • Die Einschätzung, dass die Website wirklich großartig ist, verbunden mit dem Wunsch, dass Regierungen solche Probleme ernster nehmen; Identitätsdiebstahl und Account-Übernahmen beginnen letztlich bei Datenlecks, und heute sei ein kompromittiertes digitales Konto oft eine schwerwiegendere Katastrophe als ein realer Einbruch ins Haus; bei physischen Einbrüchen gebe es klar erkennbare Anlaufstellen wie 911 und Nachverfolgung, bei digitalen Vorfällen dagegen kaum Kontaktmöglichkeiten und wenig echten Lösungsprozess – ein Appell für gesellschaftlichen Wandel
  • Sehr positive Bewertung des neuen Designs; es mache Freude, Troys Updates zu verfolgen, auch wenn es sich manchmal wie schwarzer Humor anfühle; die Timeline scheine vom ältesten zum neuesten Leck sortiert zu sein, doch verwirrend sei, dass das Datum offenbar nicht den Zeitpunkt des Lecks, sondern den Zeitpunkt seiner Veröffentlichung meine; der Vorschlag lautet, sowohl Sortierung als auch Anzeige klar auf das Veröffentlichungsdatum zu beziehen und innerhalb der Karten zusätzlich das tatsächliche Leckdatum in standardisierter Form auszuweisen, um mehr Klarheit zu schaffen