数据泄露事故已经成为信息安全领域常见的事情,并且,由于用户经常在多个网站和服务使用相同的登录信息,受害者往往很难确定自己哪些账号信息已经泄露,需要更改哪些信息。为了解决这个问题,一个新推出的网站希望成为泄露账户信息的一站式聚合网站。
当然,帮助潜在的数据泄露受害者确定其账户信息是否已经被泄露的网站并不是什么新鲜事。已经有几个网站专门提供对Adobe泄露事故(其中泄露了约1.53亿账户信息)中泄露信息的查询,例如,由在线密码聚合服务LastPass创建的网站就详细介绍了多少受害者曾使用相同的密码。然而,这种网站的问题在于,它们专注于特定的泄露事故,这让用户无法整合这些信息以及确定自己多少账户信息已经被泄露。这也正是haveibeenpwned.com试图完善的问题。
Haveibeenpwned由软件架构师兼微软开发安全最有价值专家Troy Hunt创建,这个网站聚合了多起安全泄露事故中泄露的账号信息,而不只是最引人注目的某一起事故。这个网站的功能与其他类似网站基本相同。潜在的受害者可以查询电子邮件地址(没有存储密码信息),然后该网站会确定这个地址是否在泄露账号信息数据库中。
到目前为止,haveibeenpwned仅涉及五起泄露事故的数据,包括2013年10月Adobe泄露事故、2012年7月雅虎泄露事故、2011年12月Stratfor泄露事故、2011年索尼Playstation网络泄露事故和2010年Gawker泄露事故。Hunt计划从其他泄露事故中增加更多数据到该网站,不过,最近发生的LinkedIn泄露事故并不会出现在其中,因为这只是泄露了密码,而没有电子邮件地址。
Hunt认为这个网站更重要的作用是处理未来数据泄露事故的数据。
“现在,这是个有点不公平的游戏,攻击者和其他想要利用数据泄露事故用于恶意目的的人能够迅速获得和分析数据,但一般用户却不能轻松地获取千兆字节的压缩账户信息,以确定他们的信息是否被泄露,”Hunt表示,“现在,我正在构建一个平台,以快速整合未来数据泄露的信息,并让可能受影响的用户可以快速搜索这些信息,帮助用户来应对未来的数据泄露事故。”
该网站背后的灵感源自于,Hunt的工作账号和个人账户都在大规模Adobe泄露事故中被泄露了,他在查询LastPass网站后才发现这个事实。他甚至不记得自己为什么有Adobe账户,他推测可能早在他使用Dreamweaver创建经典的Active Server Pages时就创建了Adobe账户。
Hunt表示:“问题是这些账户已经漂浮了这么久,当数据泄露事故发生时,我根本不知道我的账户被泄露,因为这个网站根本不是我的常用网站。”
根据Hunt的Twitter信息显示,在第一天,haveibeenpwned就吸引了6.3万访客进行了16.2万次搜索。32%查询的电子邮件地址在其数据库中。用户现在可以在haveibeenpwned.com查询自己的信息了。