Jump to content
Scorpionadi

Intrebare - Verificare adresa mail pe site-ul haveibeenpwned.com

Recommended Posts

Salut,

Pe site-ul https://haveibeenpwned.com/, care este un site legitim, putem verifica daca adresa de mail sau parola/parolele folosite au fost compromise in anumite atacuri cibernetice.

Recent am vazut ca si CERT.RO a facut parteneriat cu ei.

Cum putem fi siguri ca parolele pe care le introducem acolo nu sunt colectate de catre administratorii site-ului pentru a face o baza de date cu aceste parole?

Multumesc si sper ca am postat bine.

Link to comment
Share on other sites

Oare cum ar fi sa citesti intai pe site-ul lor?

 

https://haveibeenpwned.com/Privacy

https://blog.cloudflare.com/validating-leaked-passwords-with-k-anonymity/

 

K-anonymity e metoda prin care parola ta nu e divulgata.

Poti fi 99% sigur ca parola nu e colectata.

Exista riscuri de un third-party js injection sau alte porcarii. Totusi riscul e mic si comparabil cu alte riscuri online.

  • Upvote 1
Link to comment
Share on other sites

Super, nu stiam asta:

 

"The Pwned Passwords feature searches previous data breaches for the presence of a user-provided password. The password is hashed client-side with the SHA-1 algorithm then only the first 5 characters of the hash are sent to HIBP per the Cloudflare k-anonymity implementation. HIBP never receives the original password nor enough information to discover what the original password was."

Link to comment
Share on other sites

Este un mare scam deoarece hash-urile si passwd-urile gasite de ei in diverse loguri sau primite prin asa zisele raportari reale nu sunt verificate daca functioneaza in realitate. Daca publici pe un forum sau in alta parte o lista de loguri fake gen leak din care 10% bune si 90% random ei preiau toate adresele de email si le introduc in baza lor de date. Este testat ce zic si puteti incerca si voi.

Link to comment
Share on other sites

57 minutes ago, andr82 said:

Este un mare scam deoarece hash-urile si passwd-urile gasite de ei in diverse loguri sau primite prin asa zisele raportari reale nu sunt verificate daca functioneaza in realitate. Daca publici pe un forum sau in alta parte o lista de loguri fake gen leak din care 10% bune si 90% random ei preiau toate adresele de email si le introduc in baza lor de date. Este testat ce zic si puteti incerca si voi.

 

 

Totusi: sansele ca tu sa introduci o parola care sa aiba acelasi hash cu un hash random sunt 0.

 

Chiar daca eu introduc in db lor hashul 0xeeeeee..eee. Sansele ca tu sa ai o parola care sa rezulte in acel hash sunt 0.

Deci nu e nimic rau daca ei intoduc hashuri aiurea, care nu sunt defapt reale/cunoscute ca oricum niciun user nu va fi vreodata fals avertizat.

 

PS: sansele ca tu sa fii fals avertizat ca parola ta e leaked sunt 1/sute de miliarde

Link to comment
Share on other sites

 

5 hours ago, andr82 said:

Este un mare scam

 

Afirmativ

 

 

On: Dormi linistit, password-urile nu sunt pe google

 

Edit: din 2016 pana in prezent au fost notificati, majoritatea si-au schimbat parolele, d'asta exista sectiunea Stiri Securitate

Edited by Kev
Link to comment
Share on other sites

1. Pai un manelist zice ca se numeste AnonLeague si ca are access la emailurile guvernului roman si incepe sa publice listele cu emailuri guvernamentale trase cu scraperul - extractorul dar nu face public nici o parola sau alt leak care sa demostreze bresa de securitate

2. Cei de la haveibeenpwned.com gasesc spamul facut de manelist pe pastebin si pe forumuri si il integreaza ca security breach:

Oh no — pwned! Pwned in 6 data breaches and found 2 pastes (subscribe to search sensitive breaches)

Imi da ca surse niste spambot-uri pe care nu exista adresa guvermentala  cu totul ca ei zic ca este pastebinurile sunt :

https://pastebin.com/2Wg0S13E

https://pastebin.com/XHBz0N94

 

Am relizat si eu experimentul pe pastebin si forumuri si acum adresele nou facute figureaza ca Oh noooo----pwned :) :) PENIBIL !

 

 

Link to comment
Share on other sites

3 hours ago, FaNt0maX said:

Ai optiunea asta la Mozilla Firefox daca ai cont la ei si la cel putin fiecare instalare noua si logare in cont iti arata automat unde sunt brese de securitate si email-ul cel putin a fost expus poti gasi mai multe detalii aici https://monitor.firefox.com/  merge si fara cont sa verifici ...

Am testat si pare mai bun, mi-a gasit adresa de email intr-o singura bresa pe myheritage:

"On October 26, 2017, MyHeritage was breached. Once the breach was discovered and verified, it was added to our database on February 20, 2019."

Am cautat sa vad daca asa este si am gasit pe raidforums baza de date myheritage, am descarcat-o si este adresa mea si parola sub forma de hash sha2 fara salt deci imposibil sa o decriptezi fara bruteforce masiv. Nu cred ca va sta nimeni saptamani pe brute sa imi decripteze hash-ul deci nu o consider o vulnerabilitate majora.

Imi place optiunea asta la Firefox, iti explica clar unde au gasit bresa plus alte detalii.

@FaNt0maX thank's.

Edited by andr82
  • Thanks 1
Link to comment
Share on other sites

2 hours ago, andr82 said:

Am testat si pare mai bun, mi-a gasit adresa de email intr-o singura bresa pe myheritage:

"On October 26, 2017, MyHeritage was breached. Once the breach was discovered and verified, it was added to our database on February 20, 2019."

Am cautat sa vad daca asa este si am gasit pe raidforums baza de date myheritage, am descarcat-o si este adresa mea si parola sub forma de hash sha2 fara salt deci imposibil sa o decriptezi fara bruteforce masiv. Nu cred ca va sta nimeni saptamani pe brute sa imi decripteze hash-ul deci nu o consider o vulnerabilitate majora.

Imi place optiunea asta la Firefox, iti explica clar unde au gasit bresa plus alte detalii.

@FaNt0maX thank's.

 

 

Da bravo! Si ce conteaza treaba asta? Esti tu super secured encrypted.

 

Serviciile astea sunt facute pt oameniii care vor sa monitorizeze bresele de securitate. Pentru firme/servicii care vor sa verifice daca clientii folosesc parole slabe, pentru parole de ssh in care se da ca surdu-n clopot etc.

 

Faptul ca hashul e leaked e un risc. Cine stie daca cineva are si salt-ul dar nu e publicat. Hasul poate fi un indicativ daca parola e reutilizata, sau mai grav daca e derivata.

 

haveibeenpwned iti furnizeaza informatiile astea, gratis, si open. Daca tie ti se par inutile pentru ce faci tu(facebook/rst/bitfinex) nu trebuie sa te pisi pe serviciul lor. Ei furnizaza si pentru alti useri pentru alte use-cases.

Link to comment
Share on other sites

5 hours ago, yoyois said:

 

 

Da bravo! Si ce conteaza treaba asta? Esti tu super secured encrypted.

 

Serviciile astea sunt facute pt oameniii care vor sa monitorizeze bresele de securitate. Pentru firme/servicii care vor sa verifice daca clientii folosesc parole slabe, pentru parole de ssh in care se da ca surdu-n clopot etc.

 

Faptul ca hashul e leaked e un risc. Cine stie daca cineva are si salt-ul dar nu e publicat. Hasul poate fi un indicativ daca parola e reutilizata, sau mai grav daca e derivata.

 

haveibeenpwned iti furnizeaza informatiile astea, gratis, si open. Daca tie ti se par inutile pentru ce faci tu(facebook/rst/bitfinex) nu trebuie sa te pisi pe serviciul lor. Ei furnizaza si pentru alti useri pentru alte use-cases.

"Colegu", uite ca firma mea nu va folosi acele servicii indoielnice niciodata si nici nu voi recomanda la altii. Sa-i cred pe cuvant ca hash-ul asociat este cel real?  Sa aduca dovezi asupra bresei si daca ma conving atunci ii voi crede...asa ca spune X sau Y nu merge in business-ul real.

 

Edited by andr82
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...