Nếu bạn đang nghiên cứu về sự nguy hiểm của việc vi phạm dữ liệu, bạn có thể đã bắt gặp một trang web có tên Have I Been Pwned (hoặc HIBP). Tiền đề của trang web rất đơn giản. Để đổi lấy địa chỉ email, số điện thoại, tên người dùng hoặc thậm chí cả mật khẩu của bạn, Have I Been Pwned sẽ cho bạn biết nếu bất kỳ cái nào trong số chúng đã từng được xuất bản trực tuyến.
Rõ ràng là nếu bạn lo lắng về việc mọi người đánh cắp dữ liệu của mình, thì ý tưởng đưa những thông tin chi tiết đó lên một trang web bất thường có vẻ không phải là lựa chọn tốt nhất.
Vậy chính xác thì Have I Been Pwned là gì và quan trọng hơn là bạn có tin tưởng được không?
Tôi đã bị kiểm tra điều gì (HIBP)?
Have I Been Pwned là một trang web nổi tiếng tính đến năm 2019 đã có hơn 2 triệu người đăng ký.
Thật thông minh khi cảnh giác về việc bạn cung cấp thông tin chi tiết của mình cho ai nhưng trang web này được thiết kế để giúp bạn tránh những vấn đề không phải do họ gây ra.
Have I Been Pwned ban đầu được tạo ra vào năm 2013 bởi một nhà nghiên cứu bảo mật tên là Troy Hunt. Theo Hunt, anh đã tạo ra trang web để giải quyết vụ vi phạm dữ liệu tại Adobe Systems, ảnh hưởng đến 32 triệu người.
Anh ta tuyên bố rằng vào thời điểm xảy ra cuộc tấn công, rất dễ dàng để tin tặc tải xuống hàng loạt thông tin chi tiết tài khoản bị đánh cắp. Nhưng rất khó để một người bình thường biết được thông tin chi tiết của họ có được đưa vào hay không.
Khi trang web ra mắt, nó chỉ có 5 lần vi phạm bảo mật. Have I Been Pwned hiện đã có hàng trăm vụ vi phạm được ghi nhận và một người bình thường có thể tìm ra liệu chúng có được bao gồm trong vài giây hay không.
Nếu bạn vẫn lo lắng về ý định của Have I Been Pwned, thì cũng cần lưu ý rằng các kế hoạch gần đây đã được công bố để làm cho toàn bộ hệ thống trở thành mã nguồn mở.
Tại sao nó được gọi là Tôi đã được kiểm tra?
Nếu cái tên đó không tự động truyền cảm hứng cho sự tự tin, đó là vì nó có nguồn gốc từ một thuật ngữ được tin tặc sử dụng.
Trong hack, thuật ngữ "pwn" có nghĩa là xâm nhập hoặc chiếm quyền kiểm soát một máy tính hoặc ứng dụng khác.
Biểu trưng cũng bao gồm văn bản '; - và điều này liên quan đến SQL Injection, một phương pháp phổ biến để bắt đầu vi phạm dữ liệu.
Tôi đã được kiểm tra thông tin ở đâu?
Khi chi tiết tài khoản bị đánh cắp hàng loạt, chúng thường được xuất bản trực tuyến để mọi người tải xuống.
Do danh tiếng của trang web, cũng đã có nhiều lần các nguồn ẩn danh liên hệ với Hunt để đóng góp.
Do đó, việc cập nhật trang web chỉ là vấn đề bổ sung các kết xuất dữ liệu khi chúng xảy ra.
Có thể cho rằng tính năng ấn tượng nhất của trang web là Màn hình Dump. Đây là một bot Twitter giám sát quá trình dán Pastebin để tìm các kết xuất dữ liệu tiềm ẩn. Khi tìm thấy một tài khoản, tất cả các chi tiết tài khoản sẽ được thêm vào trong thời gian thực.
Hầu hết các kết xuất dữ liệu không được nói đến ngay lập tức. Vì vậy, nếu thông tin chi tiết của bạn đã từng bị đánh cắp, có khả năng chúng sẽ được thêm vào cơ sở dữ liệu trước khi bạn thậm chí nghe tin rằng chúng đã bị đánh cắp.
Trang web có khả năng còn nhanh hơn trong tương lai vì gần đây họ đã thông báo rằng họ đang làm việc với FBI. Theo thỏa thuận được đề xuất, FBI dự kiến sẽ cung cấp mật khẩu bị xâm phạm trực tiếp vào cơ sở dữ liệu khi chúng được tìm thấy.
FBI rõ ràng chịu trách nhiệm điều tra tất cả các loại tội phạm để họ có thể có quyền truy cập vào mật khẩu mà không ai khác có.
Công ty sẽ không cho tôi biết nếu Thông tin chi tiết của tôi bị đánh cắp chứ?
Nếu một công ty gặp phải vi phạm dữ liệu, cách hành động chính xác là liên hệ với tất cả những người có thể đã bị ảnh hưởng. Thật không may, điều này không phải lúc nào cũng xảy ra.
Đôi khi không thực tế khi liên hệ với tất cả mọi người. Ví dụ:mọi người có thể đăng ký một dịch vụ và sau đó thay đổi địa chỉ email của họ. Những lần khác, các vi phạm dữ liệu không được công khai vì chúng có thể khiến công ty trở nên tồi tệ.
Vào năm 2015, Hunt được liên hệ bởi một nguồn ẩn danh, người đã cung cấp cho anh ta một kết xuất dữ liệu dường như đến từ công ty lưu trữ web 000WebHost. Hunt đã làm việc với một nhà báo của Forbes để xác minh dữ liệu. Khi làm như vậy, họ đã cố gắng liên hệ với công ty nhưng không thể nhận được phản hồi.
000WebHost cuối cùng đã thừa nhận vi phạm nhưng điều này đã không xảy ra cho đến khi nhà báo của Forbes xuất bản một bài báo về chủ đề này.
Điều gì sẽ xảy ra nếu Thông tin chi tiết của bạn liên quan đến vi phạm dữ liệu
Nếu chi tiết tài khoản của bạn được công bố trực tuyến, có một số điều có thể xảy ra, không điều nào tốt.
Nếu tài khoản email của bạn bị xâm phạm, tin tặc có thể sử dụng nó để truy cập vào bất kỳ dịch vụ nào mà email của bạn được kết nối. Họ cũng có thể liên lạc với mọi người, giả vờ là bạn. Nếu bất kỳ tài khoản nào của bạn có thông tin cá nhân, thông tin đó có thể được bán hoặc sử dụng để đánh cắp danh tính. Nếu tài khoản ngân hàng trực tuyến của bạn bị truy cập, tiền của bạn có thể bị đánh cắp.
Cách sử dụng Tôi đã được kiểm tra
Have I Been Pwned rất dễ sử dụng. Chỉ cần nhập thông tin chi tiết của bạn và nó sẽ cho bạn biết nếu có khớp. Dưới đây là một số điều bạn cần lưu ý khi sử dụng dịch vụ.
Nếu thông tin chi tiết của bạn không được tìm thấy, điều này không tự động có nghĩa là chúng chưa bao giờ bị đánh cắp. Nó chỉ có nghĩa là Have I Been Pwned chưa bao giờ gặp họ.
Have I Been Pwned không trả lại kết quả từ các vi phạm xảy ra trên các trang web nhạy cảm, tức là bất kỳ thứ gì dành cho người lớn. Nếu bạn muốn truy cập toàn bộ cơ sở dữ liệu, bạn sẽ phải xác minh địa chỉ email của mình.
Nếu bạn đăng ký Have I Been Pwned, bạn có thể chọn nhận email nếu thông tin chi tiết của bạn được công bố trong tương lai. Điều này rất được khuyến khích.
Phải làm gì nếu Thông tin chi tiết của bạn bị rò rỉ
Nếu thông tin chi tiết của bạn được tìm thấy, bạn nên thực hiện một số bước.
- Nếu mật khẩu của bạn được tìm thấy, bạn nên truy cập bất kỳ trang web nào sử dụng mật khẩu đó và thay đổi mật khẩu ngay lập tức.
- Nếu bất kỳ tài khoản bị ảnh hưởng nào quan trọng đối với bạn, bạn nên tìm kiếm bằng chứng cho thấy chúng đã được truy cập.
- Nếu một địa chỉ email bị ảnh hưởng, bạn cũng nên thay đổi mật khẩu của bất kỳ dịch vụ nào được liên kết với nó.
- Bạn nên tránh sử dụng mật khẩu này ở bất kỳ đâu trong tương lai.
Bảo vệ tài khoản của bạn ngay hôm nay
Vi phạm dữ liệu là điều thường xuyên xảy ra và có thể xảy ra trên bất kỳ trang web nào, bất kể quy mô. Nếu bạn nghĩ rằng mình có thể đã bị ảnh hưởng, thì Have I Been Pwned là tài nguyên tốt nhất và có lẽ duy nhất để tìm hiểu.
Bất kể thông tin chi tiết của bạn đã bị đánh cắp hay chưa, cách ưu tiên để bảo vệ khỏi vi phạm dữ liệu là không bao giờ sử dụng cùng một mật khẩu trên nhiều tài khoản. Bằng cách này, nếu thông tin chi tiết của bạn bị đánh cắp, chỉ một tài khoản sẽ bị ảnh hưởng.