หากคุณได้ค้นคว้าเกี่ยวกับอันตรายของการละเมิดข้อมูล คุณอาจเคยพบเว็บไซต์ที่ชื่อ Have I Been Pwned (หรือ HIBP) พื้นฐานของเว็บไซต์นั้นเรียบง่าย เพื่อแลกกับที่อยู่อีเมล หมายเลขโทรศัพท์ ชื่อผู้ใช้ หรือแม้แต่รหัสผ่าน ฉันเคยถูก Pwned ไหม จะบอกคุณว่าเคยมีการเผยแพร่ทางออนไลน์หรือไม่
แน่นอน หากคุณกังวลว่ามีคนขโมยข้อมูลของคุณ แนวคิดในการให้รายละเอียดเหล่านั้นแก่เว็บไซต์ที่ไม่ปกติอาจดูเหมือนไม่ใช่ตัวเลือกที่ดีที่สุด
แล้วฉันเคยโดนหลอกอะไรกันแน่ และที่สำคัญกว่านั้น เชื่อใจได้ไหม
ฉันเคยถูกหลอกแล้ว (HIBP) คืออะไร
Have I Been Pwned เป็นเว็บไซต์ยอดนิยมที่มีผู้ติดตามมากกว่า 2 ล้านคนในปี 2019
เป็นเรื่องดีที่จะระมัดระวังเกี่ยวกับรายละเอียดที่คุณให้ไว้ แต่เว็บไซต์นี้ออกแบบมาเพื่อช่วยให้คุณหลีกเลี่ยงปัญหาที่ไม่ก่อให้เกิดปัญหา
Have I Been Pwned ถูกสร้างขึ้นในปี 2013 โดยนักวิจัยด้านความปลอดภัยชื่อ Troy Hunt ตามข้อมูลของ Hunt เขาได้สร้างเว็บไซต์ขึ้นเพื่อตอบสนองต่อการละเมิดข้อมูลที่ Adobe Systems ซึ่งส่งผลกระทบต่อผู้คน 32 ล้านคน
เขาอ้างว่าในช่วงเวลาของการโจมตี แฮกเกอร์สามารถดาวน์โหลดรายละเอียดบัญชีที่ถูกขโมยจำนวนมากได้อย่างง่ายดาย แต่เป็นเรื่องยากมากสำหรับคนทั่วไปที่จะค้นหาว่ารายละเอียดของพวกเขาถูกรวมไว้หรือไม่
เมื่อเว็บไซต์เปิดตัว มีเพียงบันทึกการละเมิดความปลอดภัยห้ารายการเท่านั้น ตอนนี้ฉันเคยถูก Pwned หรือยัง มีบันทึกการละเมิดหลายร้อยครั้ง และคนทั่วไปสามารถค้นหาได้หากรวมอยู่ในไม่กี่วินาที
หากคุณยังคงกังวลเกี่ยวกับความตั้งใจของ Have I Been Pwned ก็ควรสังเกตด้วยว่ามีการประกาศแผนเมื่อเร็วๆ นี้เพื่อทำให้ทั้งระบบเป็นโอเพ่นซอร์ส
เหตุใดจึงถูกเรียกว่าฉันถูก Pwned?
หากชื่อไม่สร้างความมั่นใจโดยอัตโนมัติ นั่นเป็นเพราะว่ามาจากคำที่แฮ็กเกอร์ใช้
ในการแฮ็ก คำว่า "pwn" หมายถึงการประนีประนอมหรือควบคุมคอมพิวเตอร์หรือแอปพลิเคชันอื่น
โลโก้ยังมีข้อความ ';-- และนี่คือการอ้างอิงถึง SQL Injection ซึ่งเป็นวิธีการที่นิยมในการเริ่มต้นการละเมิดข้อมูล
ฉันเคยได้รับข้อมูลมาจากที่ใด
เมื่อรายละเอียดบัญชีถูกขโมยจำนวนมาก ข้อมูลเหล่านี้มักถูกเผยแพร่ทางออนไลน์ให้ทุกคนดาวน์โหลด
เนื่องจากชื่อเสียงของเว็บไซต์ จึงมีหลายครั้งที่แหล่งข้อมูลที่ไม่ระบุตัวตนติดต่อ Hunt เพื่อบริจาค
การอัปเดตเว็บไซต์อยู่เสมอเป็นเพียงเรื่องของการเพิ่มการดัมพ์ข้อมูลที่เกิดขึ้น
ฟีเจอร์ที่น่าประทับใจที่สุดของเว็บไซต์คือ Dump Monitor นี่คือบอท Twitter ที่ตรวจสอบ Pastebin สำหรับการทิ้งข้อมูลที่อาจเกิดขึ้น เมื่อพบแล้ว รายละเอียดบัญชีทั้งหมดจะถูกเพิ่มแบบเรียลไทม์
การถ่ายโอนข้อมูลส่วนใหญ่ไม่ได้กล่าวถึงในทันที ดังนั้นหากรายละเอียดของคุณถูกขโมย มีแนวโน้มว่าข้อมูลจะถูกเพิ่มลงในฐานข้อมูลก่อนที่คุณจะได้ยินว่าถูกขโมย
เว็บไซต์มีแนวโน้มที่จะเร็วยิ่งขึ้นในอนาคตเนื่องจากพวกเขาเพิ่งประกาศว่าพวกเขากำลังทำงานร่วมกับเอฟบีไอ ภายใต้ข้อตกลงที่เสนอ คาดว่า FBI จะป้อนรหัสผ่านที่ถูกบุกรุกเข้าไปในฐานข้อมูลโดยตรงเมื่อพบ
เห็นได้ชัดว่า FBI มีหน้าที่สืบสวนอาชญากรทุกประเภท ดังนั้นพวกเขาจึงมีแนวโน้มที่จะเข้าถึงรหัสผ่านที่ไม่มีใครทำได้
บริษัทจะไม่บอกฉันหากรายละเอียดของฉันถูกขโมยหรือไม่
หากบริษัทประสบกับการละเมิดข้อมูล แนวทางปฏิบัติที่ถูกต้องคือการติดต่อทุกคนที่อาจได้รับผลกระทบ น่าเสียดายที่สิ่งนี้ไม่ได้เกิดขึ้นเสมอไป
บางครั้งการติดต่อทุกคนก็ไม่สะดวก ตัวอย่างเช่น ผู้คนอาจสมัครใช้บริการแล้วเปลี่ยนที่อยู่อีเมล ในบางครั้ง การละเมิดข้อมูลจะไม่ถูกเปิดเผยต่อสาธารณะเพราะอาจทำให้บริษัทดูแย่ได้
ในปี 2558 ฮันท์ได้รับการติดต่อจากแหล่งที่ไม่เปิดเผยตัวตนซึ่งให้ข้อมูลดัมพ์ซึ่งเห็นได้ชัดว่ามาจากบริษัทเว็บโฮสติ้ง 000WebHost Hunt ทำงานร่วมกับนักข่าวของ Forbes เพื่อตรวจสอบข้อมูล เมื่อทำเช่นนั้น พวกเขาพยายามติดต่อบริษัทแต่ไม่สามารถรับคำตอบได้
000WebHost ยอมรับการละเมิดในที่สุด แต่สิ่งนี้ไม่เกิดขึ้นจนกระทั่งหลังจากที่นักข่าว Forbes ตีพิมพ์บทความในหัวข้อนี้
จะเกิดอะไรขึ้นหากรายละเอียดของคุณเกี่ยวข้องกับการละเมิดข้อมูล
หากรายละเอียดบัญชีของคุณถูกเผยแพร่ทางออนไลน์ มีหลายสิ่งที่อาจเกิดขึ้นได้ แต่ก็ไม่มีอะไรดี
หากบัญชีอีเมลของคุณถูกละเมิด แฮกเกอร์สามารถใช้บัญชีดังกล่าวเพื่อเข้าถึงบริการใดๆ ที่อีเมลของคุณเชื่อมต่ออยู่ พวกเขายังสามารถติดต่อผู้คนโดยแอบอ้างเป็นคุณ หากบัญชีของคุณมีข้อมูลส่วนบุคคล จะสามารถขายหรือใช้เพื่อขโมยข้อมูลประจำตัวได้ หากเข้าถึงบัญชีธนาคารออนไลน์ของคุณ เงินของคุณอาจถูกขโมย
วิธีใช้งาน ฉันเคยถูกหลอกแล้ว
Have I Been Pwned ใช้งานง่ายมาก เพียงป้อนรายละเอียดของคุณแล้วระบบจะบอกคุณว่ามีรายการที่ตรงกันหรือไม่ ข้อควรคำนึงในการใช้บริการ
หากไม่พบรายละเอียดของคุณ ไม่ได้หมายความว่าไม่เคยถูกขโมยโดยอัตโนมัติ มันหมายความว่าฉันเคยถูกหลอกว่าไม่เคยเจอพวกเขาเลย
ฉันเคยถูก Pwned ไหม ไม่ส่งคืนผลลัพธ์จากการละเมิดที่เกิดขึ้นบนเว็บไซต์ที่มีความละเอียดอ่อน เช่น เนื้อหาสำหรับผู้ใหญ่ หากคุณต้องการเข้าถึงฐานข้อมูลทั้งหมด คุณจะต้องยืนยันที่อยู่อีเมลของคุณ
หากคุณสมัครใช้งาน Have I been Pwned คุณสามารถเลือกรับอีเมลได้หากรายละเอียดของคุณได้รับการเผยแพร่ในอนาคต แนะนำเป็นอย่างยิ่ง
จะทำอย่างไรถ้ารายละเอียดของคุณรั่วไหล
หากพบรายละเอียดของคุณ มีหลายขั้นตอนที่คุณควรทำ
- หากพบรหัสผ่านของคุณ คุณควรไปที่เว็บไซต์ใดๆ ที่ใช้งานและเปลี่ยนรหัสผ่านทันที
- หากบัญชีที่ได้รับผลกระทบมีความสำคัญต่อคุณ คุณควรมองหาหลักฐานว่ามีการเข้าถึงบัญชีดังกล่าว
- หากที่อยู่อีเมลได้รับผลกระทบ คุณควรเปลี่ยนรหัสผ่านของบริการใดๆ ที่เชื่อมโยงกับที่อยู่อีเมลนั้นด้วย
- คุณควรหลีกเลี่ยงการใช้รหัสผ่านนี้ทุกที่ในอนาคต
ปกป้องบัญชีของคุณวันนี้
การละเมิดข้อมูลเกิดขึ้นบ่อยครั้งและสามารถเกิดขึ้นได้บนเว็บไซต์ใดๆ โดยไม่คำนึงถึงขนาด หากคุณคิดว่าคุณอาจได้รับผลกระทบ Have I been Pwned เป็นแหล่งข้อมูลที่ดีที่สุดและอาจมีเพียงแหล่งเดียวในการค้นหา
ไม่ว่ารายละเอียดของคุณจะถูกขโมยไปแล้วหรือไม่ก็ตาม วิธีที่แนะนำในการป้องกันการละเมิดข้อมูลก็คืออย่าใช้รหัสผ่านเดียวกันในหลายบัญชี ด้วยวิธีนี้ หากรายละเอียดของคุณถูกขโมย จะได้รับผลกระทบเพียงบัญชีเดียวเท่านั้น