WebTech Rodos: Το Have I Been Pwned αποτελεί εδώ και καιρό έναν από τους πιο χρήσιμους τρόπους για να μάθετε αν οι προσωπικές σας πληροφορίες εκτέθηκαν σε μια παραβίαση. Αλλά ένας νέος ιστότοπος προσφέρει το δικό του ισχυρό εργαλείο για να σας βοηθήσει να ελέγξετε αν τα δεδομένα σας έχουν διαρρεύσει σε εγκληματίες του κυβερνοχώρου.
Το DataBreach.com είναι έργο μιας εταιρείας από το Νιου Τζέρσεϊ που ονομάζεται Atlas Privacy, η οποία βοηθά τους καταναλωτές να αφαιρέσουν τις προσωπικές τους πληροφορίες από μεσίτες δεδομένων και ιστότοπους αναζήτησης ανθρώπων. Την Τετάρτη, η εταιρεία μας είπε ότι ξεκίνησε το DataBreach.com ως εναλλακτική λύση στο Have I Been Pwned, το οποίο μπορεί να αναζητηθεί κυρίως μέσω της διεύθυνσης ηλεκτρονικού ταχυδρομείου του χρήστη.
Το DataBreach.com έχει σχεδιαστεί για να κάνει αυτό και πολλά άλλα. Εκτός από τη διεύθυνση ηλεκτρονικού ταχυδρομείου σας, ο ιστότοπος διαθέτει μια προηγμένη λειτουργία αναζήτησης για να δείτε αν το πλήρες όνομα, η φυσική σας διεύθυνση, ο αριθμός τηλεφώνου, ο αριθμός κοινωνικής ασφάλισης, η διεύθυνση IP ή το όνομα χρήστη βρίσκονται στην εκτεταμένη βιβλιοθήκη καταγεγραμμένων παραβιάσεων της Atlas Privacy. Με την πάροδο του χρόνου θα προστεθούν και άλλες κατηγορίες.
(Credit: DataBreach.com)
«Οι παραβιάσεις δεδομένων αφορούν όλο και περισσότερο τα PII (προσωπικά στοιχεία αναγνώρισης) παρά τους κωδικούς πρόσβασης από ό,τι παλαιότερα», δήλωσε ο Arnaud de Saint Méloir, μηχανικός λογισμικού και ερευνητής της Atlas. «Το να έχω ένα εργαλείο όπου μπορώ να αναζητήσω τον αριθμό τηλεφώνου μου, τη διεύθυνση κατοικίας μου και το SSN, νομίζω ότι είναι το επόμενο βήμα για την προστασία της ιδιωτικής μας ζωής».
Η Atlas Privacy προσφέρει τις επί πληρωμή υπηρεσίες της σε πελάτες, όπως αστυνομικούς και διασημότητες, για να προστατεύσει τους κακοποιούς από το να μάθουν τις διευθύνσεις ή τους αριθμούς τηλεφώνου τους. Με τον τρόπο αυτό, η εταιρεία έχει επίσης συγκεντρώσει πάνω από 17.5 δισεκατομμύρια εγγραφές από τις πολυάριθμες κλεμμένες βάσεις δεδομένων που κυκλοφορούν στο διαδίκτυο, μεταξύ άλλων και σε φόρουμ κυβερνοεγκληματιών.
Ως δημόσια υπηρεσία, η Atlas χρησιμοποιεί τώρα το αυξανόμενο απόθεμα των κλεμμένων αρχείων της για να δημιουργήσει έναν ιστότοπο κοινοποίησης παραβιάσεων, δωρεάν. Το DataBreach.com βασίζεται στην προσπάθεια της Atlas τον Αύγουστο να φιλοξενήσει έναν ιστότοπο που ενημερώνει τους χρήστες εάν ο αριθμός κοινωνικής ασφάλισής τους και άλλες προσωπικές πληροφορίες διέρρευσαν κατά την παραβίαση της National Public Data.
Το npdbreach.com που προέκυψε δεν βοήθησε μόνο το κοινό, αλλά οδήγησε επίσης σε σημαντική επισκεψιμότητα στην Atlas Privacy, οδηγώντας σε πάνω από 100.000 εγγραφές, δήλωσε ο επικεφαλής στρατηγικής της εταιρείας, Zack Ganot. «Δεν θα χρεώσουμε ποτέ για την υπηρεσία μας γνωστοποίησης παραβίασης δεδομένων. Όταν οι άνθρωποι εγγράφονται στην Atlas, ο κυριότερος λόγος που αναφέρουν είναι η απογοήτευση – μαθαίνουν ότι περιλαμβάνονται σε μια ακόμη παραβίαση και έχουν βαρεθεί. Θέλουν απλώς να απομακρυνθούν από το διαδικτυακό χάος», δήλωσε.
«Είναι απλό για εμάς: η ευαισθητοποίηση για το θέμα και η προσφορά μιας πραγματικής λύσης είναι επωφελής για όλους. Είναι ένα κέρδος για όλους», πρόσθεσε.
Είναι σημαντικό ότι η Atlas σχεδίασε το DataBreach.com έτσι ώστε να μην μπορεί να αποθηκεύσει ή να συλλέξει οποιαδήποτε ευαίσθητη πληροφορία του χρήστη που πληκτρολογείται στον ιστότοπο. Αντ’ αυτού, ο ιστότοπος θα αντλεί ένα hash από τους διακομιστές της Atlas, ή ένα δακτυλικό αποτύπωμα των προσωπικών πληροφοριών του χρήστη -είτε πρόκειται για διεύθυνση ηλεκτρονικού ταχυδρομείου, όνομα ή SSN- και θα το συγκρίνει με ό,τι αναζητά ο χρήστης.
«Η σύγκριση θα γίνεται τοπικά», δηλαδή θα γίνεται στον υπολογιστή ή το τηλέφωνο του χρήστη και όχι στον διακομιστή διαδικτύου της Atlas, δήλωσε ο de Saint Méloir.
The advanced search function
(Credit: DataBreach.com)
Εάν βρεθεί αντιστοιχία, ο ιστότοπος θα εμφανίζει μια ειδοποίηση, η οποία θα δείχνει σε ποια παραβίαση βρέθηκαν οι προσωπικές πληροφορίες, μαζί με μια περίληψη του περιστατικού παραβίασης. Αυτό περιλαμβάνει την επισήμανση τυχόν άλλων κατηγοριών προσωπικών πληροφοριών που μπορεί να περιέχει η παραβίαση για τον χρήστη, παρόμοια με αυτή που μπορεί να κάνει και το Have I Been Pwned. Επιπλέον, μόνο οι προσωπικές πληροφορίες που ζητήθηκαν θα επιστραφούν πίσω στον χρήστη, χωρίς άλλες συγκεκριμένες λεπτομέρειες, γεγονός που μπορεί να αποτρέψει τους χάκερ από την κατάχρηση του ιστότοπου.
Τούτου λεχθέντος, η λειτουργία προηγμένης αναζήτησης σας επιτρέπει να αναζητήσετε το πλήρες όνομα ενός ατόμου και να εντοπίσετε σε ποιες κλεμμένες βάσεις δεδομένων εμφανίζονται οι πληροφορίες του. Πρόκειται για ένα δίκοπο μαχαίρι που μπορεί να είναι χρήσιμο τόσο για τους καταναλωτές όσο και για τους χάκερ που κάνουν διερευνητική έρευνα για να στοχεύσουν συγκεκριμένα θύματα. Επικοινωνήσαμε με την Atlas για να δούμε αν η εταιρεία έχει κάποιο σχόλιο σχετικά με αυτό.
Εν τω μεταξύ, το DataBreach.com ευρετηριάζει επίσης βάσεις δεδομένων που δεν φαίνεται να έχει το Have I Been Pwned. Αυτό περιλαμβάνει μια παραβιασμένη βάση δεδομένων από την εταιρεία λιανικής πώλησης μόδας Hot Topic, η οποία, όπως επιβεβαίωσε η Atlas Privacy, περιλαμβάνει 54 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου και 25 εκατομμύρια αριθμούς πιστωτικών καρτών.
Επικοινωνήσαμε επίσης με τον Troy Hunt, τον διευθύνοντα σύμβουλο της Have I Been Pwned. Σχετικά με το γιατί ο ιστότοπός του δεν έχει επεκταθεί σε αναζητήσεις μέσω αριθμών κοινωνικής ασφάλισης ή αριθμών τηλεφώνου, έδωσε το μήνυμα ότι το HIBP προορίζεται να είναι εύκολα προσβάσιμο για μια παγκόσμια βάση χρηστών και όχι μόνο για τους καταναλωτές των ΗΠΑ.
«Όσον αφορά την αναζήτηση μέσω τηλεφώνου ή SSN, ένα από αυτά είναι ένα εξ ολοκλήρου αμερικανικό κατασκεύασμα, οπότε έχει νόημα μόνο για αυτή την αγορά», δήλωσε σε ένα email. «Έχω ενεργοποιήσει προηγουμένως την αναζήτηση μέσω τηλεφώνου στο HIBP για την παραβίαση του Facebook και ήταν ένας εφιάλτης για διάφορους λόγους και κατέληξα στο συμπέρασμα ότι ήταν σε μεγάλο βαθμό άχρηστη, δεδομένου ότι εμφανίζεται σχεδόν πάντα δίπλα σε μια διεύθυνση ηλεκτρονικού ταχυδρομείου ούτως ή άλλως. Περαιτέρω, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου είναι πολύ πιο χρήσιμες από τους αριθμούς τηλεφώνου λόγω της πανταχού παρουσίας τους σε παραβιάσεις δεδομένων- είναι ουσιαστικά το πρωταρχικό κλειδί για την ψηφιακή σας ζωή, οπότε αυτό είναι το πιο λογικό για αναζήτηση».
Στο ίδιο μήνυμα ηλεκτρονικού ταχυδρομείου, ο Hunt σημείωσε επίσης ότι, ενώ οι υπηρεσίες αφαίρεσης δεδομένων είναι αξιοθαύμαστες, δεν μπορούν επίσης να αναγκάσουν τους εγκληματίες του κυβερνοχώρου να κατεβάσουν το περιεχόμενό τους από υπόγεια φόρουμ. «Κοιτάξτε τις τελευταίες παραβιάσεις στην πρώτη σελίδα του εν λόγω ιστότοπου (ή του HIBP για το θέμα αυτό) και ρωτήστε πώς μπορείτε να αφαιρέσετε τα δεδομένα σας από αυτές τις παραβιάσεις. Δεν μπορείτε», δήλωσε.
πηγή: pcmag.com