"Have I Been Pwned" का 10 साल का इतिहास
(troyhunt.com)- Troy Hunt ने 4 दिसंबर 2013 को Have I Been Pwned(HIBP) लॉन्च किया था। यह ईमेल के जरिए डेटा लीक में शामिल होने की जांच करने वाले एक निजी प्रोजेक्ट के रूप में शुरू हुआ और 10 साल बाद व्यक्तियों, कंपनियों और सरकारों द्वारा भरोसा की जाने वाली security infrastructure बन गया
- साधारण
.comdomain मिलना मुश्किल था और इसे लंबे समय तक चलने वाला प्रोजेक्ट नहीं माना गया था, लेकिन pwned शब्द अब HIBP से मजबूती से जुड़ चुका है - मीडिया कवरेज, अमेरिकी Congress में गवाही, FBI और UK NCA जैसी law enforcement agencies के साथ सहयोग, और Pwned Passwords के लॉन्च के बाद HIBP की भूमिका एक साधारण search site से आगे बढ़ गई
- 2019 में बिक्री पर विचार करने वाला प्रोजेक्ट Project Svalbard निजी तनाव और सेवा पर निर्भरता की समस्या के बीच शुरू हुआ था, लेकिन सफल नहीं हुआ। Hunt ने फिर से समझा कि स्वतंत्रता उनके लिए कितनी महत्वपूर्ण है
- आगे भी डेटा लीक बढ़ते रहने की संभावना है। HIBP ज्यादा औपचारिक संचालन की ओर बढ़ेगा, लेकिन Hunt इसे ऐसी बड़ी संस्था और बोझ में बदलने से बचाना चाहते हैं जिसे वे नहीं चाहते
छोटे प्रोजेक्ट से 10 साल की infrastructure तक
- 4 दिसंबर 2013 को Troy Hunt ने “Have I Been Pwned?” के काम करना शुरू करने की बात एक ट्वीट के जरिए बताते हुए सेवा सार्वजनिक की
- अगले दिन उन्होंने अपने blog पर बताया कि 154 मिलियन records को तेज़ी से search करने लायक कैसे बनाया गया। HIBP tag वाले posts 10वीं वर्षगांठ वाले लेख तक 185 हो गए
- 10वीं वर्षगांठ की समीक्षा में service बनाने का तरीका, संचालन संबंधी फैसले, कई breach incidents और कुछ ऐसे अनुभव शामिल हैं जिनके बारे में अब तक सार्वजनिक रूप से बात नहीं की गई थी
“Pwned” क्यों था
- नाम चुनने के पीछे यह वास्तविकता थी कि साधारण English नाम के लिए
.comdomain पाना मुश्किल था, और यह उम्मीद भी बड़ी नहीं थी कि project लंबे समय तक चलेगा - “pwned” धीरे-धीरे HIBP का लगभग पर्याय बन गया, और कई लोगों ने यह शब्द पहली बार “Have I Been...” के संदर्भ में ही देखा
- online “pwned” का मतलब समझाने वाली सामग्री में भी 2013 में Hunt द्वारा बनाया गया HIBP उदाहरण के रूप में आता है
- नाम का उच्चारण अक्सर गलत हुआ या typos हुए, इसलिए Hunt ने इसके कई variant domains अपने पास रखे
haveibeenpaened.comhaveibeenpwnded.comhaveibeenporned.comhaveibeenprawned.comhaveibeenburned.comhaveigotpwned.comhaveibeenrekt.comhaveibeenfucked.com
मीडिया कवरेज और traffic का झटका
- जब भी data breach mainstream news बनता, HIBP का उल्लेख अक्सर “यह जांचने की जगह कि आप प्रभावित हुए हैं या नहीं” के रूप में होता
- media exposure ने पहचान बढ़ाई, लेकिन 2016 में UK के Martin Lewis Money Show के प्रसारण के बाद इतना traffic आया कि service offline हो गई
- Hunt ने इस अनुभव से बड़े traffic spikes संभालने के सबक सीखे और यह दोबारा न हो, इसके लिए कदम उठाए
- 2018 में Gizmodo ने HIBP को Wikipedia, Google, Amazon आदि के साथ “internet को आकार देने वाली 100 शीर्ष websites” में से एक चुना
- 2014 में TIME ने HIBP को उस वर्ष की 50 शीर्ष websites में शामिल किया
- The Wall Street Journal, The Standard, USA Today, Toronto Star, De Telegraaf, VG, Le Monde, Corriere della Sera जैसे कई प्रमुख media outlets में भी HIBP सामने आया
अमेरिकी Congress में गवाही
- करीब 6 साल पहले Hunt ने अमेरिकी Congress में data breaches का identity verification पर असर विषय पर गवाही दी
- यह public hearing थी, इसलिए गवाही का video record के रूप में मौजूद है
- सांसदों के सवालों का जवाब देने का यह अनुभव Hunt के career के सबसे यादगार पलों में से एक रहा
- उस समय की तस्वीर अब उनके office के बाहर दीवार पर लगी है और उन्हें लगातार याद दिलाती है कि HIBP उन्हें वहां तक कैसे ले गया
Project Svalbard और बिक्री का रुक जाना
- जून 2019 में Hunt ने HIBP की संभावित बिक्री को Project Svalbard नाम से सार्वजनिक किया
- उस समय फैसले की एक बड़ी वजह stress था, और एक साल से अधिक समय बाद उन्होंने बताया कि उस stress का एक महत्वपूर्ण कारण divorce था
- रिश्ते की समस्याओं ने बड़ा दबाव बनाया, और Hunt ने सोचा कि जिस project से वे प्यार करते हैं लेकिन जिसकी मांग लगातार बढ़ रही है, उसे बेचना एक exit हो सकता है
- Project Svalbard उल्टा पूर्व जीवनसाथी के साथ कानूनी विवाद में बदल गया, और बिक्री होने पर जो value मिलती, वह विवाद का हिस्सा बन गई
- San Francisco की कई tech companies के साथ संभावित acquisition चर्चाओं के दौरान, जब एक संभावित नए boss ने पूछा कि “perfect office day” कैसा होगा, तो Hunt को एहसास हुआ कि उनकी स्वतंत्रता कितनी महत्वपूर्ण है
- 6 महीने बाद Project Svalbard एक तय deal के टूट जाने के साथ समाप्त हो गया
- सही परिस्थितियां NDA के कारण बताई नहीं जा सकतीं, और सार्वजनिक रूप से इस्तेमाल किया गया वाक्यांश था “buyer side के business environment में बदलाव”
- पीछे मुड़कर देखते हुए Hunt मानते हैं कि उन्होंने बहुत कुछ खोया, लेकिन वे इस परिणाम को बेहद सौभाग्यशाली मानते हैं
FBI, NCA और law enforcement agencies के साथ सहयोग
- 10 साल पहले के Hunt के लिए यह कल्पना से बाहर था कि FBI सार्वजनिक रूप से HIBP से जुड़ी होगी
- FBI HIBP को data देती है, और UK NCA तथा दुनिया भर की कई law enforcement agencies भी data उपलब्ध कराती हैं
- कई देशों की सरकारें भी HIBP के इस्तेमाल के बारे में सार्वजनिक रूप से बात करने लगी हैं
- ABC ने सितंबर 2023 में HIBP और Hunt की भूमिका को “समय का एक अजीब संकेत” बताते हुए कहा कि “web पर एक व्यक्ति” global cybersecurity में अजीब तरह से केंद्रीय भूमिका निभाने लगा है
- HIBP का उद्देश्य “बुरी घटना के बाद अच्छा काम करना” है, और यह लोगों की रक्षा करने वाली law enforcement agencies के उद्देश्य से भी जुड़ता है
- Hunt ने 10 साल पहले यह नहीं समझा था कि law enforcement agencies अक्सर private companies के साथ मिलकर लोगों की रक्षा करती हैं, लेकिन अब उनके कई agencies के लोगों के साथ उत्पादक संबंध हैं
Pwned Passwords की growth
- HIBP में मूल रूप से passwords जोड़ने की योजना नहीं थी, और Hunt का मानना था कि username के बगल में password दिखने की स्थिति से बचना चाहिए
- हालांकि, personal information से अलग की गई leaked password lists breach data को अच्छे उद्देश्य से इस्तेमाल करने का तरीका हो सकती हैं, ऐसा उन्होंने माना
- 2017 में Pwned Passwords लॉन्च हुआ
- सितंबर 2023 में Pwned Passwords ने एक दिन में 282 मिलियन requests दर्ज कीं, और 30 दिनों की कुल requests 6 अरब से अधिक हो गईं
- समीक्षा के समय के नवीनतम आंकड़ों के अनुसार, एक हफ्ते में इसने एक दिन 301.6 मिलियन requests संभालीं, और उन requests की 100.0000000000% Cloudflare cache से serve हुईं
- यह service मुफ्त है, authentication की जरूरत नहीं है, code और data दोनों open source हैं, और FBI data देती है
- Hunt का मानना है कि बड़े online services पर credential stuffing attacks में चुराए जाने वाले accounts का बड़ा हिस्सा ऐसे passwords इस्तेमाल करता है जिन्हें block किया जा सकता था
breach data संभालने का विरोधाभास
- HIBP में एक विरोधाभास है: यह अपराध के नतीजे के रूप में आए leaked data को संभालता है, और साथ ही public interest में काम करने की कोशिश करता है
- कुछ लोग कहते हैं कि stolen data रखने के कारण वे FBI को report करेंगे, लेकिन Hunt पहले से FBI के साथ काम कर रहे हैं
- privacy laws, खासकर EU और GDPR के आधार पर भी आलोचना हुई कि “बिना सहमति data process किया जा रहा है”
- Hunt का मानना है कि data breach में शामिल होने के लिए कोई भी सहमति नहीं देता, और breach incident तथा HIBP द्वारा उसे index कर searchable बनाना अलग-अलग चर्चाएं हैं
- 10 साल में complaints कुल मिलाकर कम रहीं, सालाना cases की संख्या एक हाथ की उंगलियों पर गिनी जा सकती थी
- सरकारी privacy regulator के जरिए आई आधिकारिक complaint 10 साल में एक बार हुई, और Hunt के सवालों का जवाब देने के बाद बंद हो गई
लोग और संचालन संरचना
- HIBP शुरुआत में Hunt का अकेले समय लगाने वाला hobby project था
- शुरुआती काम में service बनाना, breach data जुटाना, verify करना, publish करना, descriptions लिखना और 700 से अधिक logos को खुद edit करना शामिल था
- अब यह internet का एक महत्वपूर्ण हिस्सा बन चुका है जिस पर कई व्यक्ति, कंपनियां और सरकारें निर्भर हैं, और एक व्यक्ति Hunt पर निर्भरता की समस्या बढ़ गई है
- 2019 में बिक्री पर विचार करने की पृष्ठभूमि में भी “केवल एक Hunt पर निर्भर संरचना” एक कारण थी
- आम company की तरह लोगों को hire कर बढ़ाने का विकल्प भी था, लेकिन Hunt को employment contracts, salary negotiations, performance reviews, sick leave और annual leave जैसी जिम्मेदारियां आकर्षक नहीं लगीं
-
Charlotte की भूमिका
- 2021 की शुरुआत में, उस समय जल्द ही उनकी पत्नी बनने वाली Charlotte ने HIBP में काम करना शुरू किया
- Charlotte ने Norway-based NDC conference की project manager के रूप में 8 साल तक software developers, speakers, attendees, sponsors और corporate attendees के साथ काम किया था
- वे technical person नहीं हैं, लेकिन उनके पास PR और entrepreneurship से जुड़े degrees हैं, और वे HIBP की tech दुनिया से भी परिचित थीं
- Charlotte corporate subscribers की onboarding, API और domain subscribers के support tickets, accounting और tax work संभालती हैं
-
Stefán Jökull Sigurðarson की भूमिका
- 2023 की शुरुआत में Stefán Jökull Sigurðarson part-time जुड़े और code writing, cleanup, migration जैसे कई development tasks संभाले
- Stefán HIBP launch के समय से service को देखते आ रहे थे, और 2018 की शुरुआत में EVE में PwnedPasswords v2 API के शुरुआती बड़े integrations में से एक develop किया
- वे HIBP को अपने public speaking career, open source contributions, MVP भूमिका और ज्यादा सुरक्षित internet में योगदान देने की यात्रा का हिस्सा मानते हैं
- Hunt के लिए यह महत्वपूर्ण है कि Stefán के लिए HIBP सिर्फ job नहीं, बल्कि passion है
यादगार breach cases
- 10 साल में HIBP में शामिल breaches की संख्या 731 तक पहुंची
-
Ashley Madison
- 2015 की घटना ने HIBP usage पर बड़ा असर डाला, और Hunt की victims के साथ बातचीत पर भी गहरी छाप छोड़ी
- Ashley Madison members ने Hunt से क्या कहा आज भी पढ़ने में कठिन लेख है
-
Collection #1
- 2019 की शुरुआत में इसने Hunt का stress बहुत बढ़ाया और service बेचने पर विचार करने के फैसले पर भी गहरा असर डाला
- 773 मिलियन records के साथ, समीक्षा के समय तक यह HIBP का सबसे बड़ा breach था
-
Rosebutt
- यह एक ऐसा case था जिसने दिखाया कि गंभीर data breach भी कभी-कभी मजेदार पल बना सकता है
-
Shit Express
- गुमनाम रूप से मल का टुकड़ा भेजने वाली site breach हो गई, जिससे anonymity पर सवाल उठ गया
- Hunt ने बाद में लिखा कि anonymity claims अक्सर बहुत misleading होते हैं
आगे की दिशा
- Hunt की रोजमर्रा की routine कुछ ऐसी है: सुबह emails और रात भर की events check करना, फिर उस दिन की जरूरत के मुताबिक काम करना
- संचालन का यह तरीका इस वजह से जुड़ता है कि वे HIBP को बड़ी जिम्मेदारियों वाली संस्था के रूप में बढ़ाना नहीं चाहते
- साथ ही HIBP धीरे-धीरे अधिक formalized हो रहा है
- 3 साल पहले Hunt 100% सब कुछ खुद करते थे
- 1 साल पहले वे सभी technical काम खुद करते थे
- 6 महीने पहले support के लिए ticket system नहीं था
- Hunt चाहते हैं कि HIBP उनसे भी लंबे समय तक चले, लेकिन इस प्रक्रिया में यह उनके लिए बांधने वाला बोझ न बने
- वे मानते हैं कि आगे और ज्यादा breaches होंगे, और हाल में ransomware तेजी से बढ़ता हुआ महसूस होता है
- ransomware के जरिए सार्वजनिक होने वाले emails, documents और विभिन्न data में शामिल लोगों को अपनी exposure के बारे में पता चलता है या नहीं, इस पर सवाल बना हुआ है
- ऐसे data को index करना कई कारणों से आसान नहीं है, लेकिन यह धीरे-धीरे ज्यादा मूल्यवान काम लगता है
1 टिप्पणियां
Hacker News की राय
Troy Hunt वाकई बहुत मूल्यवान हैं, और अगर आप वेब application developer हैं तो credential stuffing से बचाव न करने का कोई बहाना नहीं है
सबसे अच्छा उपाय शायद 2-factor authentication होगा[1], लेकिन Hunt के hashed password database से मिलान करना भी user पर अतिरिक्त बोझ डाले बिना काफ़ी अच्छा बचाव देता है
मेरे पास इसके समर्थन में डेटा नहीं है, लेकिन मेरा मानना है कि compromise हुए accounts की भारी बहुमत credential stuffing या password reuse से आती है। यह सुनकर हैरानी होती है कि बड़ी कंपनियाँ इस तरह की जाँच नहीं करतीं, जबकि setup भी इतना सरल है कि एक दिन में किया जा सकता है
अगर आप एक युवा CTO या शुरुआती webapp engineer हैं, तो कभी न कभी ऐसा हो सकता है कि रात 1 बजे आपके पास फ़ोन की बौछार शुरू हो जाए, site पर हमला हो रहा हो, और पहले आपको लगे कि यह DDoS है, लेकिन फिर समझ आए कि ज़्यादातर traffic login page पर जा रहा है, और उनमें से कुछ attempts सच में login करने में सफल भी हो रहे हैं। उसके बाद पूरी रात response देना पड़ता है और breach notification भी करनी पड़ती है, जो सच में बहुत कष्टदायक है
Troy Hunt का free database शायद इस दर्द को कम कर दे, इसलिए बस इसे कर लेना चाहिए
एक कर्मचारी इस कार्रवाई को privacy violation मानकर बुरी तरह नाराज़ हो गया था। कानूनी कार्रवाई किसने शुरू की थी यह याद नहीं, लेकिन नतीजा यह था कि FBI कर्मचारी और judge दोनों ने माना कि system administrator का अपने ज़िम्मे के password hashes तक पहुँचना भी, भले ही उसका उद्देश्य security सुधारना था, आपराधिक privacy violation माना जा सकता है
अगर वह FBI कर्मचारी यह कहानी बना नहीं रहा था, तो कर्मचारियों के password hashes haveibeenpwned में हैं या नहीं, यह जाँचने से पहले legal team review कराना समझदारी होगी
उदाहरण के लिए, पिछले 1 मिनट में एक ही IP या एक ही username से 20 login failures हों तो उस IP या username को 15 मिनट के लिए block कर दें। कई API gateways, K8s ingress आदि इसे बहुत आसानी से support करते हैं, और अगर न भी करें तो Redis जैसी किसी जगह पर हाल के login attempts की गिनती रखकर कुछ lines of code में इसे जोड़ा जा सकता है
HIBP database matching भी अच्छा विकल्प है, लेकिन इस हमले को रोकने में rate limiting कहीं अधिक प्रभावी है
उदाहरण के लिए, अगर Tumblr hack हुआ और मेरा password
hunter2लीक हो गया, लेकिन Tumblr ने salted simple HMAC-MD5 इस्तेमाल किया और मेरी site, स्वाभाविक रूप से, अलग salt के साथ argon2 इस्तेमाल करती है, तो एक ही password होने पर भी resulting hashes अलग होंगे। मुझे समझ नहीं आता कि यह credential stuffing रोकने में कैसे असरदार हैsocial OAuth, SSO, magic link email सेट कर दीजिए और इस समस्या को किसी और पर छोड़ दीजिए
1234रखता है तो उसे अपराधबोध क्यों होना चाहिएअगर site किसी vulnerable audience को target नहीं करती, तो मैं इसे user की ज़िम्मेदारी मानता हूँ। दूसरे comments की तरह, ऐसे users शायद समस्या का सबसे आसान हल
1234वेबसाइटनामजैसी चीज़ से निकालेंगेpassword field में आप जो भी restrictions जोड़ते हैं, वे entropy कम करते हैं और भले ही थोड़ा ही सही, सबकी सुरक्षा को कमज़ोर बनाते हैं
मुझे याद है कि यह site पहले शानदार experience देती थी, लेकिन अब ऐसा लगता है जैसे $169.50 प्रति वर्ष देकर ही 100 leaked accounts देखे जा सकते हैं, यानी एक पैसा कमाने वाला मॉडल
मैं हर website के लिए unique email address इस्तेमाल करके data leaks पकड़ता हूँ, और जब मैंने उस domain के results खोजने की कोशिश की, जिसकी domain ownership verification मैंने पहले की थी, तो error आया: “10 से अधिक leaked accounts वाले domain को खोजने के लिए पर्याप्त आकार का subscription चाहिए”
इससे भी बुरी बात यह है कि Troy public data collections को भी ‘breach’ में जोड़कर account-count quota को कृत्रिम रूप से बढ़ाता है। उदाहरण के लिए, जब GitHub से scrape किए गए public contact collections को breach माना गया, तो मेरे email address को भी breach में गिना गया, जबकि मैंने उसे साफ़ तौर पर public रखा था
ऐसी low-cost service के लिए मैं सालाना 5–12 डॉलर देने को तैयार हूँ, लेकिन मौजूदा pricing बेतुकी है
कमी यह है कि database आपको खुद manage करना होगा और बार-बार update भी करना होगा। मैंने ऐसी काफ़ी money-making services देखी हैं जो पैसे लेकर API database access बेचती हैं
उस बहुत specific use case को Troy Hunt के लिए cash cow कहना ज़्यादती होगी
इस बदलाव के बारे में notification देखने की मुझे याद नहीं है
शुरुआत में एक अच्छी service के रूप में शुरू करना, फिर usage बढ़ने पर features को paywall के पीछे डाल देना और free service को इतना घटा देना कि वह लगभग बेकार हो जाए—यह एक घटिया freemium model है। Facebook बुरा ज़रूर है, लेकिन वह भी यहाँ तक नहीं गया; “free Facebook” बस ज़्यादा tracking वाला हो गया, पर 2010 जितनी functionality फिर भी बनी रही
haveibeenburned.com,haveigotpwned.com,haveibeenrekt.com, औरhaveibeenfucked.comजैसे वैरिएंट — जिसे यह पता चलने के बाद किसी ने सुझाया कि PornHub इसे फॉलो करता है — media fame के side effect के रूप में काफ़ी मज़ेदार हैंइसकी जगह revenge porn का facial recognition hash database बनाना, और अपने चेहरे का similar hash अपलोड करके देखना कि वह कहीं ऑनलाइन मौजूद है या नहीं, शायद संभव हो सकता है
यह कल्पना से भी परे स्तर की झेंप थी
मुझे Hunt के जानकारीपूर्ण लेख सचमुच बहुत पसंद हैं
मुझे याद है मैंने पढ़ा था कि बिना असली personal information भेजे pwned फ़ाइलों और passwords को मिलाने के लिए k-anonymity का इस्तेमाल कैसे किया जाता है, और उसी वजह से मैंने उस concept को पढ़ा और बाद में काम के project में भी इस्तेमाल किया
कभी-कभी सोचता हूँ कि अगर मैंने असली personal information भेजे बिना जाँच करने वाले वे लेख न पढ़े होते, तो मैं यह कैसे करता
मैं Junade Ali का भी ज़िक्र करना चाहूँगा, जिन्हें Troy ने proposer के रूप में बताया है[1]। उन्होंने संबंधित लेख में इसे और विस्तार से समझाया है[2]
इसका मतलब यह नहीं कि Junade ने इसका invention किया था; मूल रूप से यह Pierangela Samarati, Latanya Sweeney, और Tore Dalenius का काम लगता है[3], लेकिन उनकी ब्लॉग पोस्ट software developers के लिए परिचित concepts में इसे बहुत अच्छे से समझाती है
[1] https://www.troyhunt.com/ive-just-launched-pwned-passwords-v...
[2] https://blog.cloudflare.com/validating-leaked-passwords-with...
[3] https://en.wikipedia.org/wiki/K-anonymity
धमकी देकर ठगने वाले scammers pwned password database का इस्तेमाल करके काफ़ी believable phishing email बना रहे हैं
कुछ ऐसा: “मैंने तुम्हारे सिस्टम में remote access tool install किया है और webcam से तुम्हें देखता रहा हूँ। hack का सबूत यह password है। इस address पर BTC में 1800 डॉलर भेजो और पुलिस के पास मत जाना। अगली बार password manager इस्तेमाल करना।” सोचता हूँ कि क्या लोग सच में इस scam का शिकार होते हैं
ज़्यादातर तो शायद spam filter में रुक जाते होंगे, और मैंने तो सिर्फ़ वही देखे हैं जो SPF/DKIM filter पार कर गए, इसलिए मेरा अनुभव biased है। यह काफ़ी चालाक लगता है
मैं इस service के लिए आभारी हूँ और Troy Hunt के लेख भी आनंद से पढ़ता हूँ। HIBP शानदार है
उसमें पुराना password ही नहीं, बल्कि पूरा postal address और credit card के आख़िरी 4 digits भी थे, और सच में कुछ लोग इस पर विश्वास कर लेते हैं
सिर्फ़ इस feature से ऐसा हमला संभव नहीं है
मुझे भी ऐसे ईमेल एक-दो बार मिले हैं, और मुझे बिल्कुल अंदाज़ा नहीं था कि वह काफ़ी कमज़ोर password मैंने किस site पर इस्तेमाल किया था
मैंने जल्दी से खोजकर देख लिया कि वह password ऐसी किसी जगह इस्तेमाल नहीं हुआ था जिसे मैं महत्वपूर्ण मानता हूँ, इसलिए बात वहीं छोड़ दी, लेकिन यह जानते हुए भी कि वह पुराना password था, असहजता बनी रही
अगर मैं password manager इस्तेमाल नहीं करता, तो मैं तुरंत यह नहीं देख पाता कि वह password कहाँ इस्तेमाल हुआ था और मुझे याददाश्त पर ज़ोर डालना पड़ता; वह कैसा लगता, इसकी कल्पना करना मुश्किल है
HaveIBeenPwned का user awareness पर असर काफ़ी उल्लेखनीय है
दूसरी ओर, ऐसा लगता है कि SpyCloud, जिसके पास 30 गुना बड़ा dataset है और जो companies के साथ सीधे काम करके password reuse को वास्तव में कम करता है, उसे पर्याप्त recognition नहीं मिलता
अगर कभी किसी बड़े website login पर आपसे password reset करवाया गया हो, या कई जगह इस्तेमाल किए गए password को बदलने के लिए email मिला हो, तो संभव है कि उसके पीछे SpyCloud रहा हो
जबकि वास्तव में वह करता है। उदाहरण के लिए 1Password और दूसरे password managers, Firefox, FBI, और UK व Australia की governments के साथ उसका सहयोग है
बाद वाली ज़्यादातर लोगों के लिए बिल्कुल उपयोगी नहीं है
जो लोग privacy की परवाह करते हैं, उनके लिए public search से अपनी जानकारी हटाने का तरीका यहाँ है
https://haveibeenpwned.com/OptOut
email के साथ बुरा करने की सोच रखने वाला कोई व्यक्ति aggregate site scrape करने के बजाय पूरी मूल सूची डाउनलोड करने की ज़्यादा संभावना रखता है
और नोट में लिखा है, “जिस domain से आपका email address जुड़ा है, उसका administrator आपको domain search में अब भी देख सकता है”
पिछले 10 सालों में stalking के शिकार कितने लोगों को यह पता चला होगा कि हमलावर ने अकाउंट और निजी जानकारी ढूंढने व उसमें दखल देने के आसान गाइड टूल के रूप में HaveIBeenPwned का इस्तेमाल किया
बेशक, साइट का रुख यह है कि दुर्भावनापूर्ण उपयोगकर्ता सेवा का इस्तेमाल करने से पहले पीड़ित को पहले से साइन अप करके search exposure बंद कर देनी चाहिए
यानी email verification के पीछे दिखाने के बजाय, सिर्फ address डालते ही दूसरे उपयोगकर्ता को “आपकी जानकारी बाहर है!” जैसा झटका देना user safety से ज्यादा महत्वपूर्ण माना गया है
अगर किसी के पास किसी का email address है, तो क्या यह जानने के लिए कि वह address कहाँ इस्तेमाल हुआ है, सच में HIBP की ज़रूरत है? क्या सिर्फ Google से ही पहले से बहुत से नतीजे नहीं मिल जाते?
मैं hash देखना चाहूँगा ताकि यह पता चल सके कि कौन-सा password compromise हुआ
“Jet Ski चलाकर मैं जो चाहूँ वह करता हूँ” — क्या Troy Hunt Mobius variant है?
सोच रहा हूँ कि क्या उसने divorce की ठोस details के बारे में बहुत लिखा है
क्या इसे बस ऐसा समझना चाहिए कि 50% asset split और किसके पास क्या ownership रहेगी, इसे सुलझाने की प्रक्रिया की वजह से मामला लंबा और महंगा हो गया?