Tweet
Bạn có lo ngại về dữ liệu cá nhân của mình trong các vụ hack lớn đang trỗi dậy? Trang web PwnedList giúp bạn tìm ra nếu tài khoản trực tuyến của bạn đã bị rò rỉ dữ liệu.
Nếu bạn có một tài khoản với một công ty có máy chủ đã bị tấn công, thật là khó chịu-câu hỏi luôn quấy rối bạn: có hay không có dữ liệu cá nhân của bạn đã bị rò rỉ lên mạng Internet? Rất may, một dịch vụ Web mới tìm cách tổng hợp tất cả các dữ liệu tài khoản bị rò rỉ trên mạng Internet và dễ dàng cho bạn để kiểm tra xem nếu bạn có trong danh sách.
PwnedList ( pwnedlist.com ) là sản phẩm trí tuệ của Alan Puzic, nhà nghiên cứu an ninh tình báo chuyên nghiệp, làm việc một phần của hacker “mũ trắng”. PwnedList được sinh ra trong tháng 7 năm 2011 như là một dịch vụ công cộng để giúp những người có tư tưởng riêng tư, xác minh sự an toàn của các tài khoản trực tuyến của họ.
“Mục tiêu của chúng tôi là thiết kế để sử dụng đơn giản cổng thông tin trực tuyến mà một người dùng trung bình có thể kiểm tra xem nếu các tài khoản xác nhận đã bị rò rỉ”, ông Puzic trong một cuộc phỏng vấn với PCWorld. Trong vòng một tuần, Puzic và nhóm của ông (bao gồm cả nhà nghiên cứu an ninh Stephen Thomas và Jasiel Spelman) đã tụ tập hơn một triệu tài khoản bị tấn công từ các trang web như The Pirate Bay và pastebin, mạng xã hội như Twitter, và thậm chí cả các diễn đàn của hacker và chatroom. Vào thời điểm của cuộc phỏng vấn, PwnedList đã được hoạt động trong gần sáu tháng, với cơ sở dữ liệu của nó gần 10 triệu mục.
Nhưng đừng lo lắng: Mặc dù PwnedList không ngừng tìm kiếm tên người dùng bị xâm nhập, địa chỉ email và mật khẩu, họ không lưu trữ tất cả những thông tin trong cơ sở dữ liệu PwnedList. Thay vào đó, họ đưa tất cả các dữ liệu tài khoản bị xâm nhập họ tìm thấy (hoặc người sử dụng nặc danh gửi cho họ) và sử dụng một thuật toán để tạo ra một chuỗi duy nhất của các ký tự chữ và số cho mỗi tên người dùng và địa chỉ email. Sau đó lưu các chuỗi trong cơ sở dữ liệu PwnedList trước khi xóa các thông tin đăng nhập thực tế. Thủ tục này có nghĩa là không một hacker có thể crack cơ sở dữ liệu PwnedList và truy cập vào danh sách của hàng trăm ngàn tài khoản bị xâm nhập mà nhóm PwnedList đang tập hợp.
Vì vậy, mỗi lần bạn gõ 1 tên người dùng hoặc địa chỉ email vào công cụ tìm kiếm PwnedList máy chủ chạy yêu cầu của bạn thông qua các thuật toán tương tự được sử dụng để băm các tài khoản bị xâm nhập, so sánh các chuỗi tạo ra đối với các chuỗi trong cơ sở dữ liệu, và cảnh báo bạn nếu trùng nhau. Đối với bảo mật thêm, thậm chí bạn có thể tránh gõ email hoặc tên đăng nhập của bạn vào trang web PwnedList bằng cách băm đó cho mình và sao chép các chuỗi. PwnedList sử dụng 512-bit Secure Hash Algorithm (SHA), vì vậy bạn chỉ có thể sử dụng một công cụ trực tuyến băm để chuyển đổi email hoặc tên người dùng yêu thích của bạn vào một chuỗi bất kỳ.
Tất nhiên, Cơ sở dữ liệu PwnedList chỉ là một danh sách khổng lồ của các chuỗi chữ số mà không có dữ liệu liên quan như mật khẩu hoặc tên miền, dịch vụ chỉ có thể cho biết bạn có hoặc không phải là một tên hoặc email trong danh sách tại thời điểm chúng ta truy cập, PwnedList không có cách nào để cung cấp cho bạn biết chính xác làm thế nào email của bạn đã bị xâm nhập hoặc có trang web đã bị hack. Mặc dù điều đó có thể sẽ thay đổi với phiên bản kế tiếp.
“Chúng tôi đang làm việc chăm chỉ để làm cho nhiều thêm dữ liệu có sẵn trên trang web của chúng tôi … bao gồm cả tên của trang web công ty / tổ chức tài khoản, số tài khoản rò rỉ, ngày chúng tôi tìm ra rò rỉ, và (nếu có thể ) tên của nhóm hacker / mà chúng tôi tin tưởng công bố các dữ liệu “, ông Puzic.
Nhưng cuối cùng, thêm thông tin, thì có ích, điều đó không thực sự quan trọng, điều quan trọng là các trang web như PwnedList giúp bạn có một vai trò tích cực trong việc thẩm tra xem dữ liệu cá nhân của bạn đã bị xâm nhập. Nếu bạn không may mắn, tìm thấy tên người dùng yêu thích của bạn hoặc địa chỉ email trên danh sách, đừng hoảng sợ! Rất có thể là dữ liệu của bạn không bị tổn thương, nhưng để an toàn, bạn nên giả định rằng bạn là nạn nhân của một hành vi vi phạm dữ liệu và có 1 vài bước chung phục hồi nó. Cập nhật tất cả các tài khoản với mật khẩu tốt hơn , đặt một cảnh báo gian lận trên báo cáo tín dụng của bạn, và theo dõi các báo cáo tài chính của bạn cho một vài tháng cho dấu hiệu của sự giả mạo. Cho thêm lời khuyên, hãy kiểm tra hướng dẫn của chúng tôi để phục hồi từ một hành vi vi phạm dữ liệu , và để ý trên PwnedList khi nó tiếp tục tung ra các dịch vụ bảo vệ sự riêng tư nhiều hơn.
Alex Wawro , PCWorld Feb 3, 2012 9:35 am
Nếu bạn có một tài khoản với một công ty có máy chủ đã bị tấn công, thật là khó chịu-câu hỏi luôn quấy rối bạn: có hay không có dữ liệu cá nhân của bạn đã bị rò rỉ lên mạng Internet? Rất may, một dịch vụ Web mới tìm cách tổng hợp tất cả các dữ liệu tài khoản bị rò rỉ trên mạng Internet và dễ dàng cho bạn để kiểm tra xem nếu bạn có trong danh sách.
PwnedList ( pwnedlist.com ) là sản phẩm trí tuệ của Alan Puzic, nhà nghiên cứu an ninh tình báo chuyên nghiệp, làm việc một phần của hacker “mũ trắng”. PwnedList được sinh ra trong tháng 7 năm 2011 như là một dịch vụ công cộng để giúp những người có tư tưởng riêng tư, xác minh sự an toàn của các tài khoản trực tuyến của họ.
“Mục tiêu của chúng tôi là thiết kế để sử dụng đơn giản cổng thông tin trực tuyến mà một người dùng trung bình có thể kiểm tra xem nếu các tài khoản xác nhận đã bị rò rỉ”, ông Puzic trong một cuộc phỏng vấn với PCWorld. Trong vòng một tuần, Puzic và nhóm của ông (bao gồm cả nhà nghiên cứu an ninh Stephen Thomas và Jasiel Spelman) đã tụ tập hơn một triệu tài khoản bị tấn công từ các trang web như The Pirate Bay và pastebin, mạng xã hội như Twitter, và thậm chí cả các diễn đàn của hacker và chatroom. Vào thời điểm của cuộc phỏng vấn, PwnedList đã được hoạt động trong gần sáu tháng, với cơ sở dữ liệu của nó gần 10 triệu mục.
Nhưng đừng lo lắng: Mặc dù PwnedList không ngừng tìm kiếm tên người dùng bị xâm nhập, địa chỉ email và mật khẩu, họ không lưu trữ tất cả những thông tin trong cơ sở dữ liệu PwnedList. Thay vào đó, họ đưa tất cả các dữ liệu tài khoản bị xâm nhập họ tìm thấy (hoặc người sử dụng nặc danh gửi cho họ) và sử dụng một thuật toán để tạo ra một chuỗi duy nhất của các ký tự chữ và số cho mỗi tên người dùng và địa chỉ email. Sau đó lưu các chuỗi trong cơ sở dữ liệu PwnedList trước khi xóa các thông tin đăng nhập thực tế. Thủ tục này có nghĩa là không một hacker có thể crack cơ sở dữ liệu PwnedList và truy cập vào danh sách của hàng trăm ngàn tài khoản bị xâm nhập mà nhóm PwnedList đang tập hợp.
Vì vậy, mỗi lần bạn gõ 1 tên người dùng hoặc địa chỉ email vào công cụ tìm kiếm PwnedList máy chủ chạy yêu cầu của bạn thông qua các thuật toán tương tự được sử dụng để băm các tài khoản bị xâm nhập, so sánh các chuỗi tạo ra đối với các chuỗi trong cơ sở dữ liệu, và cảnh báo bạn nếu trùng nhau. Đối với bảo mật thêm, thậm chí bạn có thể tránh gõ email hoặc tên đăng nhập của bạn vào trang web PwnedList bằng cách băm đó cho mình và sao chép các chuỗi. PwnedList sử dụng 512-bit Secure Hash Algorithm (SHA), vì vậy bạn chỉ có thể sử dụng một công cụ trực tuyến băm để chuyển đổi email hoặc tên người dùng yêu thích của bạn vào một chuỗi bất kỳ.
Tất nhiên, Cơ sở dữ liệu PwnedList chỉ là một danh sách khổng lồ của các chuỗi chữ số mà không có dữ liệu liên quan như mật khẩu hoặc tên miền, dịch vụ chỉ có thể cho biết bạn có hoặc không phải là một tên hoặc email trong danh sách tại thời điểm chúng ta truy cập, PwnedList không có cách nào để cung cấp cho bạn biết chính xác làm thế nào email của bạn đã bị xâm nhập hoặc có trang web đã bị hack. Mặc dù điều đó có thể sẽ thay đổi với phiên bản kế tiếp.
“Chúng tôi đang làm việc chăm chỉ để làm cho nhiều thêm dữ liệu có sẵn trên trang web của chúng tôi … bao gồm cả tên của trang web công ty / tổ chức tài khoản, số tài khoản rò rỉ, ngày chúng tôi tìm ra rò rỉ, và (nếu có thể ) tên của nhóm hacker / mà chúng tôi tin tưởng công bố các dữ liệu “, ông Puzic.
Nhưng cuối cùng, thêm thông tin, thì có ích, điều đó không thực sự quan trọng, điều quan trọng là các trang web như PwnedList giúp bạn có một vai trò tích cực trong việc thẩm tra xem dữ liệu cá nhân của bạn đã bị xâm nhập. Nếu bạn không may mắn, tìm thấy tên người dùng yêu thích của bạn hoặc địa chỉ email trên danh sách, đừng hoảng sợ! Rất có thể là dữ liệu của bạn không bị tổn thương, nhưng để an toàn, bạn nên giả định rằng bạn là nạn nhân của một hành vi vi phạm dữ liệu và có 1 vài bước chung phục hồi nó. Cập nhật tất cả các tài khoản với mật khẩu tốt hơn , đặt một cảnh báo gian lận trên báo cáo tín dụng của bạn, và theo dõi các báo cáo tài chính của bạn cho một vài tháng cho dấu hiệu của sự giả mạo. Cho thêm lời khuyên, hãy kiểm tra hướng dẫn của chúng tôi để phục hồi từ một hành vi vi phạm dữ liệu , và để ý trên PwnedList khi nó tiếp tục tung ra các dịch vụ bảo vệ sự riêng tư nhiều hơn.
Alex Wawro , PCWorld Feb 3, 2012 9:35 am