1 पॉइंट द्वारा GN⁺ 2023-12-05 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Troy Hunt ने 4 दिसंबर 2013 को Have I Been Pwned(HIBP) लॉन्च किया था। यह ईमेल के जरिए डेटा लीक में शामिल होने की जांच करने वाले एक निजी प्रोजेक्ट के रूप में शुरू हुआ और 10 साल बाद व्यक्तियों, कंपनियों और सरकारों द्वारा भरोसा की जाने वाली security infrastructure बन गया
  • साधारण .com domain मिलना मुश्किल था और इसे लंबे समय तक चलने वाला प्रोजेक्ट नहीं माना गया था, लेकिन pwned शब्द अब HIBP से मजबूती से जुड़ चुका है
  • मीडिया कवरेज, अमेरिकी Congress में गवाही, FBI और UK NCA जैसी law enforcement agencies के साथ सहयोग, और Pwned Passwords के लॉन्च के बाद HIBP की भूमिका एक साधारण search site से आगे बढ़ गई
  • 2019 में बिक्री पर विचार करने वाला प्रोजेक्ट Project Svalbard निजी तनाव और सेवा पर निर्भरता की समस्या के बीच शुरू हुआ था, लेकिन सफल नहीं हुआ। Hunt ने फिर से समझा कि स्वतंत्रता उनके लिए कितनी महत्वपूर्ण है
  • आगे भी डेटा लीक बढ़ते रहने की संभावना है। HIBP ज्यादा औपचारिक संचालन की ओर बढ़ेगा, लेकिन Hunt इसे ऐसी बड़ी संस्था और बोझ में बदलने से बचाना चाहते हैं जिसे वे नहीं चाहते

छोटे प्रोजेक्ट से 10 साल की infrastructure तक

  • 4 दिसंबर 2013 को Troy Hunt ने “Have I Been Pwned?” के काम करना शुरू करने की बात एक ट्वीट के जरिए बताते हुए सेवा सार्वजनिक की
  • अगले दिन उन्होंने अपने blog पर बताया कि 154 मिलियन records को तेज़ी से search करने लायक कैसे बनाया गया। HIBP tag वाले posts 10वीं वर्षगांठ वाले लेख तक 185 हो गए
  • 10वीं वर्षगांठ की समीक्षा में service बनाने का तरीका, संचालन संबंधी फैसले, कई breach incidents और कुछ ऐसे अनुभव शामिल हैं जिनके बारे में अब तक सार्वजनिक रूप से बात नहीं की गई थी

“Pwned” क्यों था

  • नाम चुनने के पीछे यह वास्तविकता थी कि साधारण English नाम के लिए .com domain पाना मुश्किल था, और यह उम्मीद भी बड़ी नहीं थी कि project लंबे समय तक चलेगा
  • “pwned” धीरे-धीरे HIBP का लगभग पर्याय बन गया, और कई लोगों ने यह शब्द पहली बार “Have I Been...” के संदर्भ में ही देखा
  • online “pwned” का मतलब समझाने वाली सामग्री में भी 2013 में Hunt द्वारा बनाया गया HIBP उदाहरण के रूप में आता है
  • नाम का उच्चारण अक्सर गलत हुआ या typos हुए, इसलिए Hunt ने इसके कई variant domains अपने पास रखे
    • haveibeenpaened.com
    • haveibeenpwnded.com
    • haveibeenporned.com
    • haveibeenprawned.com
    • haveibeenburned.com
    • haveigotpwned.com
    • haveibeenrekt.com
    • haveibeenfucked.com

मीडिया कवरेज और traffic का झटका

  • जब भी data breach mainstream news बनता, HIBP का उल्लेख अक्सर “यह जांचने की जगह कि आप प्रभावित हुए हैं या नहीं” के रूप में होता
  • media exposure ने पहचान बढ़ाई, लेकिन 2016 में UK के Martin Lewis Money Show के प्रसारण के बाद इतना traffic आया कि service offline हो गई
    • Hunt ने इस अनुभव से बड़े traffic spikes संभालने के सबक सीखे और यह दोबारा न हो, इसके लिए कदम उठाए
  • 2018 में Gizmodo ने HIBP को Wikipedia, Google, Amazon आदि के साथ “internet को आकार देने वाली 100 शीर्ष websites” में से एक चुना
  • 2014 में TIME ने HIBP को उस वर्ष की 50 शीर्ष websites में शामिल किया
  • The Wall Street Journal, The Standard, USA Today, Toronto Star, De Telegraaf, VG, Le Monde, Corriere della Sera जैसे कई प्रमुख media outlets में भी HIBP सामने आया

अमेरिकी Congress में गवाही

  • करीब 6 साल पहले Hunt ने अमेरिकी Congress में data breaches का identity verification पर असर विषय पर गवाही दी
  • यह public hearing थी, इसलिए गवाही का video record के रूप में मौजूद है
  • सांसदों के सवालों का जवाब देने का यह अनुभव Hunt के career के सबसे यादगार पलों में से एक रहा
  • उस समय की तस्वीर अब उनके office के बाहर दीवार पर लगी है और उन्हें लगातार याद दिलाती है कि HIBP उन्हें वहां तक कैसे ले गया

Project Svalbard और बिक्री का रुक जाना

  • जून 2019 में Hunt ने HIBP की संभावित बिक्री को Project Svalbard नाम से सार्वजनिक किया
  • उस समय फैसले की एक बड़ी वजह stress था, और एक साल से अधिक समय बाद उन्होंने बताया कि उस stress का एक महत्वपूर्ण कारण divorce था
  • रिश्ते की समस्याओं ने बड़ा दबाव बनाया, और Hunt ने सोचा कि जिस project से वे प्यार करते हैं लेकिन जिसकी मांग लगातार बढ़ रही है, उसे बेचना एक exit हो सकता है
  • Project Svalbard उल्टा पूर्व जीवनसाथी के साथ कानूनी विवाद में बदल गया, और बिक्री होने पर जो value मिलती, वह विवाद का हिस्सा बन गई
  • San Francisco की कई tech companies के साथ संभावित acquisition चर्चाओं के दौरान, जब एक संभावित नए boss ने पूछा कि “perfect office day” कैसा होगा, तो Hunt को एहसास हुआ कि उनकी स्वतंत्रता कितनी महत्वपूर्ण है
  • 6 महीने बाद Project Svalbard एक तय deal के टूट जाने के साथ समाप्त हो गया
    • सही परिस्थितियां NDA के कारण बताई नहीं जा सकतीं, और सार्वजनिक रूप से इस्तेमाल किया गया वाक्यांश था “buyer side के business environment में बदलाव”
    • पीछे मुड़कर देखते हुए Hunt मानते हैं कि उन्होंने बहुत कुछ खोया, लेकिन वे इस परिणाम को बेहद सौभाग्यशाली मानते हैं

FBI, NCA और law enforcement agencies के साथ सहयोग

  • 10 साल पहले के Hunt के लिए यह कल्पना से बाहर था कि FBI सार्वजनिक रूप से HIBP से जुड़ी होगी
  • FBI HIBP को data देती है, और UK NCA तथा दुनिया भर की कई law enforcement agencies भी data उपलब्ध कराती हैं
  • कई देशों की सरकारें भी HIBP के इस्तेमाल के बारे में सार्वजनिक रूप से बात करने लगी हैं
  • ABC ने सितंबर 2023 में HIBP और Hunt की भूमिका को “समय का एक अजीब संकेत” बताते हुए कहा कि “web पर एक व्यक्ति” global cybersecurity में अजीब तरह से केंद्रीय भूमिका निभाने लगा है
  • HIBP का उद्देश्य “बुरी घटना के बाद अच्छा काम करना” है, और यह लोगों की रक्षा करने वाली law enforcement agencies के उद्देश्य से भी जुड़ता है
  • Hunt ने 10 साल पहले यह नहीं समझा था कि law enforcement agencies अक्सर private companies के साथ मिलकर लोगों की रक्षा करती हैं, लेकिन अब उनके कई agencies के लोगों के साथ उत्पादक संबंध हैं

Pwned Passwords की growth

  • HIBP में मूल रूप से passwords जोड़ने की योजना नहीं थी, और Hunt का मानना था कि username के बगल में password दिखने की स्थिति से बचना चाहिए
  • हालांकि, personal information से अलग की गई leaked password lists breach data को अच्छे उद्देश्य से इस्तेमाल करने का तरीका हो सकती हैं, ऐसा उन्होंने माना
  • 2017 में Pwned Passwords लॉन्च हुआ
  • सितंबर 2023 में Pwned Passwords ने एक दिन में 282 मिलियन requests दर्ज कीं, और 30 दिनों की कुल requests 6 अरब से अधिक हो गईं
  • समीक्षा के समय के नवीनतम आंकड़ों के अनुसार, एक हफ्ते में इसने एक दिन 301.6 मिलियन requests संभालीं, और उन requests की 100.0000000000% Cloudflare cache से serve हुईं
  • यह service मुफ्त है, authentication की जरूरत नहीं है, code और data दोनों open source हैं, और FBI data देती है
  • Hunt का मानना है कि बड़े online services पर credential stuffing attacks में चुराए जाने वाले accounts का बड़ा हिस्सा ऐसे passwords इस्तेमाल करता है जिन्हें block किया जा सकता था

breach data संभालने का विरोधाभास

  • HIBP में एक विरोधाभास है: यह अपराध के नतीजे के रूप में आए leaked data को संभालता है, और साथ ही public interest में काम करने की कोशिश करता है
  • कुछ लोग कहते हैं कि stolen data रखने के कारण वे FBI को report करेंगे, लेकिन Hunt पहले से FBI के साथ काम कर रहे हैं
  • privacy laws, खासकर EU और GDPR के आधार पर भी आलोचना हुई कि “बिना सहमति data process किया जा रहा है”
  • Hunt का मानना है कि data breach में शामिल होने के लिए कोई भी सहमति नहीं देता, और breach incident तथा HIBP द्वारा उसे index कर searchable बनाना अलग-अलग चर्चाएं हैं
  • 10 साल में complaints कुल मिलाकर कम रहीं, सालाना cases की संख्या एक हाथ की उंगलियों पर गिनी जा सकती थी
  • सरकारी privacy regulator के जरिए आई आधिकारिक complaint 10 साल में एक बार हुई, और Hunt के सवालों का जवाब देने के बाद बंद हो गई

लोग और संचालन संरचना

  • HIBP शुरुआत में Hunt का अकेले समय लगाने वाला hobby project था
  • शुरुआती काम में service बनाना, breach data जुटाना, verify करना, publish करना, descriptions लिखना और 700 से अधिक logos को खुद edit करना शामिल था
  • अब यह internet का एक महत्वपूर्ण हिस्सा बन चुका है जिस पर कई व्यक्ति, कंपनियां और सरकारें निर्भर हैं, और एक व्यक्ति Hunt पर निर्भरता की समस्या बढ़ गई है
  • 2019 में बिक्री पर विचार करने की पृष्ठभूमि में भी “केवल एक Hunt पर निर्भर संरचना” एक कारण थी
  • आम company की तरह लोगों को hire कर बढ़ाने का विकल्प भी था, लेकिन Hunt को employment contracts, salary negotiations, performance reviews, sick leave और annual leave जैसी जिम्मेदारियां आकर्षक नहीं लगीं
  • Charlotte की भूमिका

    • 2021 की शुरुआत में, उस समय जल्द ही उनकी पत्नी बनने वाली Charlotte ने HIBP में काम करना शुरू किया
    • Charlotte ने Norway-based NDC conference की project manager के रूप में 8 साल तक software developers, speakers, attendees, sponsors और corporate attendees के साथ काम किया था
    • वे technical person नहीं हैं, लेकिन उनके पास PR और entrepreneurship से जुड़े degrees हैं, और वे HIBP की tech दुनिया से भी परिचित थीं
    • Charlotte corporate subscribers की onboarding, API और domain subscribers के support tickets, accounting और tax work संभालती हैं
  • Stefán Jökull Sigurðarson की भूमिका

    • 2023 की शुरुआत में Stefán Jökull Sigurðarson part-time जुड़े और code writing, cleanup, migration जैसे कई development tasks संभाले
    • Stefán HIBP launch के समय से service को देखते आ रहे थे, और 2018 की शुरुआत में EVE में PwnedPasswords v2 API के शुरुआती बड़े integrations में से एक develop किया
    • वे HIBP को अपने public speaking career, open source contributions, MVP भूमिका और ज्यादा सुरक्षित internet में योगदान देने की यात्रा का हिस्सा मानते हैं
    • Hunt के लिए यह महत्वपूर्ण है कि Stefán के लिए HIBP सिर्फ job नहीं, बल्कि passion है

यादगार breach cases

  • 10 साल में HIBP में शामिल breaches की संख्या 731 तक पहुंची
  • Ashley Madison

    • 2015 की घटना ने HIBP usage पर बड़ा असर डाला, और Hunt की victims के साथ बातचीत पर भी गहरी छाप छोड़ी
    • Ashley Madison members ने Hunt से क्या कहा आज भी पढ़ने में कठिन लेख है
  • Collection #1

    • 2019 की शुरुआत में इसने Hunt का stress बहुत बढ़ाया और service बेचने पर विचार करने के फैसले पर भी गहरा असर डाला
    • 773 मिलियन records के साथ, समीक्षा के समय तक यह HIBP का सबसे बड़ा breach था
  • Rosebutt

    • यह एक ऐसा case था जिसने दिखाया कि गंभीर data breach भी कभी-कभी मजेदार पल बना सकता है
  • Shit Express

    • गुमनाम रूप से मल का टुकड़ा भेजने वाली site breach हो गई, जिससे anonymity पर सवाल उठ गया
    • Hunt ने बाद में लिखा कि anonymity claims अक्सर बहुत misleading होते हैं

आगे की दिशा

  • Hunt की रोजमर्रा की routine कुछ ऐसी है: सुबह emails और रात भर की events check करना, फिर उस दिन की जरूरत के मुताबिक काम करना
  • संचालन का यह तरीका इस वजह से जुड़ता है कि वे HIBP को बड़ी जिम्मेदारियों वाली संस्था के रूप में बढ़ाना नहीं चाहते
  • साथ ही HIBP धीरे-धीरे अधिक formalized हो रहा है
    • 3 साल पहले Hunt 100% सब कुछ खुद करते थे
    • 1 साल पहले वे सभी technical काम खुद करते थे
    • 6 महीने पहले support के लिए ticket system नहीं था
  • Hunt चाहते हैं कि HIBP उनसे भी लंबे समय तक चले, लेकिन इस प्रक्रिया में यह उनके लिए बांधने वाला बोझ न बने
  • वे मानते हैं कि आगे और ज्यादा breaches होंगे, और हाल में ransomware तेजी से बढ़ता हुआ महसूस होता है
  • ransomware के जरिए सार्वजनिक होने वाले emails, documents और विभिन्न data में शामिल लोगों को अपनी exposure के बारे में पता चलता है या नहीं, इस पर सवाल बना हुआ है
  • ऐसे data को index करना कई कारणों से आसान नहीं है, लेकिन यह धीरे-धीरे ज्यादा मूल्यवान काम लगता है

1 टिप्पणियां

 
GN⁺ 2023-12-05
Hacker News की राय
  • Troy Hunt वाकई बहुत मूल्यवान हैं, और अगर आप वेब application developer हैं तो credential stuffing से बचाव न करने का कोई बहाना नहीं है
    सबसे अच्छा उपाय शायद 2-factor authentication होगा[1], लेकिन Hunt के hashed password database से मिलान करना भी user पर अतिरिक्त बोझ डाले बिना काफ़ी अच्छा बचाव देता है
    मेरे पास इसके समर्थन में डेटा नहीं है, लेकिन मेरा मानना है कि compromise हुए accounts की भारी बहुमत credential stuffing या password reuse से आती है। यह सुनकर हैरानी होती है कि बड़ी कंपनियाँ इस तरह की जाँच नहीं करतीं, जबकि setup भी इतना सरल है कि एक दिन में किया जा सकता है
    अगर आप एक युवा CTO या शुरुआती webapp engineer हैं, तो कभी न कभी ऐसा हो सकता है कि रात 1 बजे आपके पास फ़ोन की बौछार शुरू हो जाए, site पर हमला हो रहा हो, और पहले आपको लगे कि यह DDoS है, लेकिन फिर समझ आए कि ज़्यादातर traffic login page पर जा रहा है, और उनमें से कुछ attempts सच में login करने में सफल भी हो रहे हैं। उसके बाद पूरी रात response देना पड़ता है और breach notification भी करनी पड़ती है, जो सच में बहुत कष्टदायक है
    Troy Hunt का free database शायद इस दर्द को कम कर दे, इसलिए बस इसे कर लेना चाहिए

    1. https://cheatsheetseries.owasp.org/cheatsheets/Credential_St...
    2. 23andMe जैसे मामले। https://news.ycombinator.com/item?id=37794379
    • लगभग 10 साल पहले FBI कर्मचारियों के एक प्रस्तुति कार्यक्रम में मैंने एक कहानी सुनी थी: एक system administrator ने कंपनी का hashed password database लेकर known leaked hashes से उसका मिलान किया, फिर reused passwords इस्तेमाल करने वाले कर्मचारियों को forced reset और सूचना मेल भेजे, और बाद में उसे गिरफ्तार कर लिया गया
      एक कर्मचारी इस कार्रवाई को privacy violation मानकर बुरी तरह नाराज़ हो गया था। कानूनी कार्रवाई किसने शुरू की थी यह याद नहीं, लेकिन नतीजा यह था कि FBI कर्मचारी और judge दोनों ने माना कि system administrator का अपने ज़िम्मे के password hashes तक पहुँचना भी, भले ही उसका उद्देश्य security सुधारना था, आपराधिक privacy violation माना जा सकता है
      अगर वह FBI कर्मचारी यह कहानी बना नहीं रहा था, तो कर्मचारियों के password hashes haveibeenpwned में हैं या नहीं, यह जाँचने से पहले legal team review कराना समझदारी होगी
    • 2-factor authentication के अलावा, login endpoint पर rate limiting को IP address और username, दोनों के आधार पर लगाना इस हमले के खिलाफ़ कहीं ज़्यादा मज़बूत बचाव है
      उदाहरण के लिए, पिछले 1 मिनट में एक ही IP या एक ही username से 20 login failures हों तो उस IP या username को 15 मिनट के लिए block कर दें। कई API gateways, K8s ingress आदि इसे बहुत आसानी से support करते हैं, और अगर न भी करें तो Redis जैसी किसी जगह पर हाल के login attempts की गिनती रखकर कुछ lines of code में इसे जोड़ा जा सकता है
      HIBP database matching भी अच्छा विकल्प है, लेकिन इस हमले को रोकने में rate limiting कहीं अधिक प्रभावी है
    • मुझे प्रक्रिया ठीक से समझ नहीं आ रही। अगर database में hashed passwords हैं, तो मुझे कैसे पता चलेगा कि मेरी site और वह database एक ही salt और hashing method इस्तेमाल करते हैं?
      उदाहरण के लिए, अगर Tumblr hack हुआ और मेरा password hunter2 लीक हो गया, लेकिन Tumblr ने salted simple HMAC-MD5 इस्तेमाल किया और मेरी site, स्वाभाविक रूप से, अलग salt के साथ argon2 इस्तेमाल करती है, तो एक ही password होने पर भी resulting hashes अलग होंगे। मुझे समझ नहीं आता कि यह credential stuffing रोकने में कैसे असरदार है
    • अगर आप नया login/authentication शुरू से बना रहे हैं, तो बेहतर है कि password लेकर उसे database में store ही न करें
      social OAuth, SSO, magic link email सेट कर दीजिए और इस समस्या को किसी और पर छोड़ दीजिए
    • मुझे नहीं समझ आता कि अगर कोई user अपना password 1234 रखता है तो उसे अपराधबोध क्यों होना चाहिए
      अगर site किसी vulnerable audience को target नहीं करती, तो मैं इसे user की ज़िम्मेदारी मानता हूँ। दूसरे comments की तरह, ऐसे users शायद समस्या का सबसे आसान हल 1234वेबसाइटनाम जैसी चीज़ से निकालेंगे
      password field में आप जो भी restrictions जोड़ते हैं, वे entropy कम करते हैं और भले ही थोड़ा ही सही, सबकी सुरक्षा को कमज़ोर बनाते हैं
  • मुझे याद है कि यह site पहले शानदार experience देती थी, लेकिन अब ऐसा लगता है जैसे $169.50 प्रति वर्ष देकर ही 100 leaked accounts देखे जा सकते हैं, यानी एक पैसा कमाने वाला मॉडल
    मैं हर website के लिए unique email address इस्तेमाल करके data leaks पकड़ता हूँ, और जब मैंने उस domain के results खोजने की कोशिश की, जिसकी domain ownership verification मैंने पहले की थी, तो error आया: “10 से अधिक leaked accounts वाले domain को खोजने के लिए पर्याप्त आकार का subscription चाहिए”
    इससे भी बुरी बात यह है कि Troy public data collections को भी ‘breach’ में जोड़कर account-count quota को कृत्रिम रूप से बढ़ाता है। उदाहरण के लिए, जब GitHub से scrape किए गए public contact collections को breach माना गया, तो मेरे email address को भी breach में गिना गया, जबकि मैंने उसे साफ़ तौर पर public रखा था
    ऐसी low-cost service के लिए मैं सालाना 5–12 डॉलर देने को तैयार हूँ, लेकिन मौजूदा pricing बेतुकी है

    • मेरे साथ भी ऐसा हुआ, और काश हमारे जैसे लोगों के लिए अलग pricing tier होता। शायद पूछताछ करनी चाहिए
    • DarkNet से database डाउनलोड करके उसे local में चलाएँ, तो पैसे देने की ज़रूरत नहीं है
      कमी यह है कि database आपको खुद manage करना होगा और बार-बार update भी करना होगा। मैंने ऐसी काफ़ी money-making services देखी हैं जो पैसे लेकर API database access बेचती हैं
    • अपना email domain चलाना, हर site पर अलग address इस्तेमाल करना, और अपने personal domain के leaks तक scan करना काफ़ी विशेष तरह का usage pattern है
      उस बहुत specific use case को Troy Hunt के लिए cash cow कहना ज़्यादती होगी
    • मैं भी यही तरीका इस्तेमाल करता हूँ, और मैं सोच रहा था कि मुझे इतने लंबे समय से leak alerts क्यों नहीं मिल रहे थे
      इस बदलाव के बारे में notification देखने की मुझे याद नहीं है
    • यह “everything as a service” का एक और उदाहरण है
      शुरुआत में एक अच्छी service के रूप में शुरू करना, फिर usage बढ़ने पर features को paywall के पीछे डाल देना और free service को इतना घटा देना कि वह लगभग बेकार हो जाए—यह एक घटिया freemium model है। Facebook बुरा ज़रूर है, लेकिन वह भी यहाँ तक नहीं गया; “free Facebook” बस ज़्यादा tracking वाला हो गया, पर 2010 जितनी functionality फिर भी बनी रही
  • haveibeenburned.com, haveigotpwned.com, haveibeenrekt.com, और haveibeenfucked.com जैसे वैरिएंट — जिसे यह पता चलने के बाद किसी ने सुझाया कि PornHub इसे फॉलो करता है — media fame के side effect के रूप में काफ़ी मज़ेदार हैं

    • मुझे PornHub का ब्लॉग हमेशा पसंद रहा है: https://www.pornhub.com/insights/
    • आख़िरी डोमेन revenge porn repository के रूप में दिलचस्प हो सकता है, लेकिन कई jurisdictions में उसका वितरण illegal है
      इसकी जगह revenge porn का facial recognition hash database बनाना, और अपने चेहरे का similar hash अपलोड करके देखना कि वह कहीं ऑनलाइन मौजूद है या नहीं, शायद संभव हो सकता है
    • कुछ साल पहले हमारे एक दोस्त दंपति थे जिनकी पत्नी pregnant थी, और वे सचमुच इस बात से थोड़ा शर्मिंदा थे कि “अब सबको पता चल जाएगा कि हमने ‘वह’ किया है”
      यह कल्पना से भी परे स्तर की झेंप थी
    • यह इस बात का सबूत है कि इंटरनेट का नियम काम करता है। जो भी चीज़ मौजूद है, उसका एक porn version होता है
  • मुझे Hunt के जानकारीपूर्ण लेख सचमुच बहुत पसंद हैं
    मुझे याद है मैंने पढ़ा था कि बिना असली personal information भेजे pwned फ़ाइलों और passwords को मिलाने के लिए k-anonymity का इस्तेमाल कैसे किया जाता है, और उसी वजह से मैंने उस concept को पढ़ा और बाद में काम के project में भी इस्तेमाल किया
    कभी-कभी सोचता हूँ कि अगर मैंने असली personal information भेजे बिना जाँच करने वाले वे लेख न पढ़े होते, तो मैं यह कैसे करता

    • k-anonymity सच में बहुत clever technique है, और याद है कि पहली बार पढ़ते समय उसकी simplicity और effectiveness पर मैं दंग रह गया था
      मैं Junade Ali का भी ज़िक्र करना चाहूँगा, जिन्हें Troy ने proposer के रूप में बताया है[1]। उन्होंने संबंधित लेख में इसे और विस्तार से समझाया है[2]
      इसका मतलब यह नहीं कि Junade ने इसका invention किया था; मूल रूप से यह Pierangela Samarati, Latanya Sweeney, और Tore Dalenius का काम लगता है[3], लेकिन उनकी ब्लॉग पोस्ट software developers के लिए परिचित concepts में इसे बहुत अच्छे से समझाती है
      [1] https://www.troyhunt.com/ive-just-launched-pwned-passwords-v...
      [2] https://blog.cloudflare.com/validating-leaked-passwords-with...
      [3] https://en.wikipedia.org/wiki/K-anonymity
  • धमकी देकर ठगने वाले scammers pwned password database का इस्तेमाल करके काफ़ी believable phishing email बना रहे हैं
    कुछ ऐसा: “मैंने तुम्हारे सिस्टम में remote access tool install किया है और webcam से तुम्हें देखता रहा हूँ। hack का सबूत यह password है। इस address पर BTC में 1800 डॉलर भेजो और पुलिस के पास मत जाना। अगली बार password manager इस्तेमाल करना।” सोचता हूँ कि क्या लोग सच में इस scam का शिकार होते हैं
    ज़्यादातर तो शायद spam filter में रुक जाते होंगे, और मैंने तो सिर्फ़ वही देखे हैं जो SPF/DKIM filter पार कर गए, इसलिए मेरा अनुभव biased है। यह काफ़ी चालाक लगता है
    मैं इस service के लिए आभारी हूँ और Troy Hunt के लेख भी आनंद से पढ़ता हूँ। HIBP शानदार है

    • मेरे परिवार के एक सदस्य ने घबराकर फ़ोन किया था कि क्या वह ईमेल सच है
      उसमें पुराना password ही नहीं, बल्कि पूरा postal address और credit card के आख़िरी 4 digits भी थे, और सच में कुछ लोग इस पर विश्वास कर लेते हैं
    • Pwned Passwords lookup hash या plaintext password के बिना सिर्फ़ leak count लौटाता है
      सिर्फ़ इस feature से ऐसा हमला संभव नहीं है
    • पता नहीं कोई सच में फँसा या नहीं, लेकिन मैंने ऐसे मामलों के बारे में सुना है जहाँ user घबराकर IT team से verify कराने दौड़ पड़ते हैं
      मुझे भी ऐसे ईमेल एक-दो बार मिले हैं, और मुझे बिल्कुल अंदाज़ा नहीं था कि वह काफ़ी कमज़ोर password मैंने किस site पर इस्तेमाल किया था
    • एक बार मुझे ऐसा ईमेल मिला जिसमें मेरा password plaintext में था, और वह काफ़ी अप्रिय लगा
      मैंने जल्दी से खोजकर देख लिया कि वह password ऐसी किसी जगह इस्तेमाल नहीं हुआ था जिसे मैं महत्वपूर्ण मानता हूँ, इसलिए बात वहीं छोड़ दी, लेकिन यह जानते हुए भी कि वह पुराना password था, असहजता बनी रही
      अगर मैं password manager इस्तेमाल नहीं करता, तो मैं तुरंत यह नहीं देख पाता कि वह password कहाँ इस्तेमाल हुआ था और मुझे याददाश्त पर ज़ोर डालना पड़ता; वह कैसा लगता, इसकी कल्पना करना मुश्किल है
  • HaveIBeenPwned का user awareness पर असर काफ़ी उल्लेखनीय है
    दूसरी ओर, ऐसा लगता है कि SpyCloud, जिसके पास 30 गुना बड़ा dataset है और जो companies के साथ सीधे काम करके password reuse को वास्तव में कम करता है, उसे पर्याप्त recognition नहीं मिलता
    अगर कभी किसी बड़े website login पर आपसे password reset करवाया गया हो, या कई जगह इस्तेमाल किए गए password को बदलने के लिए email मिला हो, तो संभव है कि उसके पीछे SpyCloud रहा हो

    • हो सकता है यह इरादा न रहा हो, लेकिन वह बात ऐसे सुनाई देती है जैसे HIBP companies के साथ सीधे काम करके password reuse कम नहीं करता
      जबकि वास्तव में वह करता है। उदाहरण के लिए 1Password और दूसरे password managers, Firefox, FBI, और UK व Australia की governments के साथ उसका सहयोग है
    • लाखों लोगों की मदद करने वाली free service की तुलना उस company से करना, जिसे किसी भी उपयोग के लिए subscription चाहिए, एक जैसा comparison नहीं है
      बाद वाली ज़्यादातर लोगों के लिए बिल्कुल उपयोगी नहीं है
    • मेरा मानना है कि SpyCloud के ग्राहकों की संख्या से ज़्यादा लोगों ने Troy के free pwned password data को integrate करके वास्तव में password reuse कम किया होगा
  • जो लोग privacy की परवाह करते हैं, उनके लिए public search से अपनी जानकारी हटाने का तरीका यहाँ है
    https://haveibeenpwned.com/OptOut

    • अगर मेरा email अभी भी Collection #1 या Anti Public Combo List जैसी जगहों में है, तो HIBP से opt out करने का ज़्यादा फ़ायदा नहीं लगता
      email के साथ बुरा करने की सोच रखने वाला कोई व्यक्ति aggregate site scrape करने के बजाय पूरी मूल सूची डाउनलोड करने की ज़्यादा संभावना रखता है
    • सोच रहा हूँ कि क्या domain-level opt-out भी supported है
    • लेकिन Google ReCaptcha हल करना पड़ता है, इसलिए privacy को लेकर संवेदनशील लोग इसे नापसंद करेंगे
      और नोट में लिखा है, “जिस domain से आपका email address जुड़ा है, उसका administrator आपको domain search में अब भी देख सकता है”
  • पिछले 10 सालों में stalking के शिकार कितने लोगों को यह पता चला होगा कि हमलावर ने अकाउंट और निजी जानकारी ढूंढने व उसमें दखल देने के आसान गाइड टूल के रूप में HaveIBeenPwned का इस्तेमाल किया
    बेशक, साइट का रुख यह है कि दुर्भावनापूर्ण उपयोगकर्ता सेवा का इस्तेमाल करने से पहले पीड़ित को पहले से साइन अप करके search exposure बंद कर देनी चाहिए
    यानी email verification के पीछे दिखाने के बजाय, सिर्फ address डालते ही दूसरे उपयोगकर्ता को “आपकी जानकारी बाहर है!” जैसा झटका देना user safety से ज्यादा महत्वपूर्ण माना गया है

    • email verification जोड़ने पर सेवा चलाने की लागत बहुत बढ़ सकती है और शायद यह टिकाऊ न रहे
      अगर किसी के पास किसी का email address है, तो क्या यह जानने के लिए कि वह address कहाँ इस्तेमाल हुआ है, सच में HIBP की ज़रूरत है? क्या सिर्फ Google से ही पहले से बहुत से नतीजे नहीं मिल जाते?
    • सहमत। यह हमलावर को ज़रूरी जानकारी का 90% दे देता है, लेकिन पीड़ित को यह भी नहीं बताता कि कौन-सा data leak हुआ, इसलिए और बुरा है
      मैं hash देखना चाहूँगा ताकि यह पता चल सके कि कौन-सा password compromise हुआ
    • क्या कोई थोड़ा और समझा सकता है कि HIBP का दुरुपयोग कैसे हो सकता है? यह तो बस यही जांचता है कि कोई email leak सूची में है या नहीं
  • “Jet Ski चलाकर मैं जो चाहूँ वह करता हूँ” — क्या Troy Hunt Mobius variant है?

  • सोच रहा हूँ कि क्या उसने divorce की ठोस details के बारे में बहुत लिखा है
    क्या इसे बस ऐसा समझना चाहिए कि 50% asset split और किसके पास क्या ownership रहेगी, इसे सुलझाने की प्रक्रिया की वजह से मामला लंबा और महंगा हो गया?