04.02.2012 | 18:23

Adam Haertle

Czy dane mojego konta wyciekły do internetu?

Z uwagi na ciągle rosnącą ilość włamań i związanych z nimi publikacji baz danych klientów i użytkowników serwisów internetowych, coraz więcej internautów zadaje sobie tytułowe pytanie.

W lipcu 2011 roku dwóch pracowników firmy TippingPoint stworzyło serwis pwnedlist.com, którego zadaniem jest dostarczanie internautom informacji, czy ich dane wyciekły. Serwis gromadzi informacje o wszystkich wyciekach informacji i udostępnia interfejs do sprawdzenia, czy wśród udostępnionych w internecie danych znajduje się dany adres email lub login. Wg twórców systemu baza danych posiada już prawie 5 milionów rekordów (i rośnie regularnie), więc jest w czym sprawdzać.

W związku ze specyficzną funkcjonalnością tego serwisu nasuwa się kilka pytań. Przede wszystkim, czy podając swój adres email nie dostarczamy go spamerom? Pwnedlist rozwiązuje ten problem w prosty sposób – zamiast podać pełne brzmienie adresu email wystarczy wyszukać jego hash utworzony przy użyciu algorytmu SHA-512. Serwis dokonuje porównania podanego hasha do hashy przechowywanych w bazie danych, dzięki czemu nie trzeba podawać pełnego adresu. Hash swojego adresu można łatwo wygenerować w dowolnym serwisie online zapewniającym taką usługę.

Drugim ciekawym tematem jest sposób, w jaki funkcjonuje Pwnedlist. Okazuje się, że w bazie danych systemu nie są przechowywane adresy email, a jedynie ich hashe. System nie przechowuje również żadnych innych wiadomości dotyczących konkretnych adresów lub hashy oprócz daty ich pojawienia się w systemie. W ten sposób twórcy Pwnedlist unikają odpowiedzialności za nieautoryzowane przetwarzanie adresów email oraz zapewniają, że nawet włamanie do serwisu nie spowoduje ujawnienia bazy przechowywanych adresów.

Autorzy informują, iż dane zbierają zarówno z anonimowych doniesień, jak i dedykowanych robotów przeczesujących znane lokalizacje, w których publikowane są zrzuty ujawnionych baz danych (jak np. serwis pastebin). Dla odmiany konkurencyjny dla Pwnedlist serwis ShouldIChangeMyPassword.com opiera się wyłącznie na bazach zlokalizowanych przez jego twórców. Niestety w tym serwisie nie możemy podać skrótu nazwy konta, musimy podać pełne brzmienie.

Należy pamiętać, że negatywny wynik zapytania w obu serwisach nie oznacza, że konto jest bezpieczne – ich bazy są dalekie od kompletności. Lepiej regularnie zmieniać hasło, niż potem żałować.

Powrót

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Czy dane mojego konta wyciekły do internetu?

Komentarze