Les 10 ans d’histoire de « Have I Been Pwned »

 (troyhunt.com)
1 points par GN⁺ 2023-12-05 | 1 commentaires | Partager sur WhatsApp

A Decade of Have I Been Pwned

  • Have I Been Pwned est un service qui permet de vérifier si l’adresse e-mail d’un utilisateur a été incluse dans une fuite de données.
  • Depuis 10 ans, ce service fournit aux utilisateurs des informations sur les fuites de données et contribue à la sécurité sur Internet.
  • Les utilisateurs peuvent saisir leur adresse e-mail pour vérifier si leurs informations personnelles ont été compromises dans un incident.

L’avis de GN⁺

  • Le service Have I Been Pwned joue un rôle important dans la protection des données personnelles et la cybersécurité.
  • Ce service permet aux utilisateurs d’identifier facilement si leurs données ont été exposées à des risques, contribuant ainsi à renforcer la sensibilisation à la sécurité.
  • Le fait qu’il fournisse ce service de manière continue depuis une si longue période de 10 ans est particulièrement intéressant, et cela reflète les efforts continus et l’évolution du domaine de la cybersécurité.

À lire aussi

1 commentaires

 
GN⁺ 2023-12-05
Avis Hacker News

  • Troy Hunt est un atout majeur pour les développeurs d'applications web. Les protections contre le credential stuffing sont indispensables, et même si l'authentification à deux facteurs reste la meilleure défense, vérifier la base de données de mots de passe hachés de Hunt est aussi très efficace sans demander d'effort supplémentaire aux utilisateurs.

  • On suppose que la plupart des compromissions de comptes proviennent du credential stuffing ou de la réutilisation de mots de passe. Il est étonnant que les grandes entreprises ne fassent pas ces vérifications. La mise en place est simple et une journée suffit.

  • Si vous êtes ingénieur ou CTO à un stade précoce en train de développer une web app, vous n'avez peut-être pas encore subi d'attaque de credential stuffing, mais cela finira forcément par arriver. Une fois attaqué, il faut réagir toute la nuit, envoyer des notifications de fuite de données et gérer bien d'autres difficultés.

  • Utiliser la base de données gratuite de Troy Hunt permet d'éviter ces problèmes. Son utilisation est recommandée.

  • On se demande si Troy Hunt a déjà parlé concrètement de son divorce, en supposant que cela a dû être long et coûteux à cause du partage des biens et des décisions de propriété.

  • Le site offrait auparavant une excellente expérience, mais donne désormais l'impression d'être devenu un moyen de gagner de l'argent, avec par exemple l'obligation de payer 169,50 $ par an pour vérifier 100 comptes compromis.

  • En utilisant une adresse e-mail unique pour chaque site web afin de détecter les fuites de données, on tombe sur une erreur indiquant qu'un abonnement est nécessaire lorsqu'on essaie de rechercher les résultats d'un domaine.

  • Certains critiquent Troy Hunt pour inclure des compilations de données publiques comme des « violations », ce qui gonflerait artificiellement le nombre de comptes compromis. Un tarif de l'ordre de 5 à 12 $ par an semblerait raisonnable.

  • L'apparition de divers noms de domaine similaires à haveibeenpwned.com est considérée comme un effet secondaire amusant de la notoriété médiatique.

  • Les articles de Troy Hunt sont jugés très instructifs. Quelqu'un raconte avoir lu comment vérifier les fichiers pwned sans envoyer le mot de passe grâce à la k-anonymité, puis avoir étudié cette approche et l'avoir appliquée à des projets professionnels.

  • Des hackers utilisent la base de données de mots de passe pwned pour créer des e-mails de phishing convaincants. On se demande si des gens tombent dans ce type d'arnaque. La plupart sont filtrés comme spam, mais certains passent parfois au travers. Des remerciements sont adressés au service HIBP et aux écrits de Troy Hunt.

  • L'impact de HaveIBeenPwned sur la sensibilisation des utilisateurs est souligné.

  • Il est estimé que SpyCloud dispose d'un jeu de données plus important et contribue réellement à atténuer la réutilisation d'identifiants en travaillant directement avec les entreprises, sans pour autant recevoir une reconnaissance suffisante.

  • On réfléchit à la possibilité que, ces dix dernières années, des victimes de harcèlement aient utilisé HaveIBeenPwned pour découvrir que leurs comptes et leur vie privée avaient pu être compromis.

  • Le site maintient la position selon laquelle les utilisateurs doivent s'inscrire à l'avance et masquer leurs informations dans les résultats de recherche avant qu'un acteur malveillant n'utilise le service.

  • Une méthode est partagée pour supprimer ses informations de la recherche publique sur HaveIBeenPwned pour les personnes particulièrement soucieuses de leur vie privée.

  • Il est fait mention de Troy Hunt profitant de sa liberté en faisant du jet-ski.