Một thập kỷ của Have I Been Pwned
- Have I Been Pwned là dịch vụ cho phép người dùng kiểm tra xem email của họ có nằm trong một vụ rò rỉ dữ liệu hay không.
- Trong suốt 10 năm, dịch vụ này đã cung cấp thông tin về các vụ rò rỉ dữ liệu cho người dùng và góp phần vào an ninh Internet.
- Người dùng có thể nhập địa chỉ email để kiểm tra xem đã từng có sự cố làm lộ thông tin cá nhân của mình hay chưa.
Ý kiến của GN⁺
- Dịch vụ Have I Been Pwned đóng vai trò quan trọng đối với việc bảo vệ quyền riêng tư và an ninh mạng.
- Dịch vụ này giúp người dùng dễ dàng nhận biết liệu dữ liệu của mình có đang bị đặt vào tình trạng rủi ro hay không, từ đó góp phần nâng cao nhận thức về bảo mật.
- Việc dịch vụ này được duy trì ổn định trong suốt 10 năm là điều განსაკუთრებით thú vị, phản ánh những nỗ lực và sự tiến hóa liên tục trong lĩnh vực an ninh mạng.
1 bình luận
Ý kiến trên Hacker News
Troy Hunt là một tài sản lớn đối với các nhà phát triển ứng dụng web. Các biện pháp bảo vệ chống lại credential stuffing là điều bắt buộc, và dù xác thực hai yếu tố là tuyến phòng thủ tốt nhất, việc kiểm tra cơ sở dữ liệu mật khẩu đã băm của Hunt cũng rất hiệu quả mà không đòi hỏi người dùng phải làm thêm gì.
Có thể suy đoán rằng phần lớn các vụ xâm phạm tài khoản bắt nguồn từ credential stuffing hoặc việc tái sử dụng mật khẩu. Thật đáng ngạc nhiên khi các công ty lớn không thực hiện những kiểm tra như vậy. Việc thiết lập rất đơn giản và chỉ mất một ngày là đủ.
Nếu là kỹ sư hoặc CTO ở giai đoạn đầu đang phát triển ứng dụng web, có thể bạn chưa từng trải qua một cuộc tấn công credential stuffing, nhưng sớm muộn gì cũng sẽ gặp. Khi bị tấn công, bạn sẽ phải thức trắng đêm để ứng phó, gửi thông báo rò rỉ dữ liệu và đối mặt với nhiều khó khăn khác.
Sử dụng cơ sở dữ liệu miễn phí của Troy Hunt có thể ngăn ngừa những khó khăn đó. Khuyến nghị nên dùng.
Có người tự hỏi liệu Troy Hunt có từng nhắc cụ thể đến chuyện ly hôn hay không, và đoán rằng quá trình đó hẳn kéo dài và tốn kém do phải phân chia tài sản và xác định quyền sở hữu.
Có ý kiến cho rằng trang web trước đây mang lại trải nghiệm tuyệt vời, nhưng giờ đã trở thành một cách kiếm tiền, chẳng hạn phải trả $169.50 mỗi năm để kiểm tra 100 tài khoản bị xâm phạm.
Người này dùng địa chỉ email riêng cho từng trang web để phát hiện rò rỉ dữ liệu, nhưng khi cố tìm kết quả theo tên miền thì gặp lỗi yêu cầu phải đăng ký thuê bao.
Có ý kiến chỉ trích Troy Hunt vì đưa cả các tập dữ liệu công khai đã được tổng hợp vào danh sách "vi phạm", từ đó làm tăng giả tạo số lượng tài khoản bị xâm phạm. Họ cho rằng mức giá khoảng $5-12 mỗi năm sẽ hợp lý hơn.
Việc xuất hiện nhiều tên miền khác nhau tương tự haveibeenpwned.com được xem là một tác dụng phụ thú vị của sự nổi tiếng trong truyền thông.
Có người thấy bài viết của Troy Hunt rất bổ ích. Họ đã đọc về cách dùng k-anonymity để kiểm tra tệp pwned mà không cần gửi mật khẩu, sau đó nghiên cứu thêm và áp dụng vào các dự án chuyên môn của mình.
Các hacker đang dùng cơ sở dữ liệu mật khẩu pwned để tạo ra những email lừa đảo rất thuyết phục. Có người tự hỏi liệu mọi người có thật sự mắc bẫy những trò lừa này hay không. Phần lớn bị bộ lọc spam chặn lại, nhưng đôi khi vẫn có thư lọt qua. Họ bày tỏ sự cảm ơn đối với dịch vụ HIBP và các bài viết của Troy Hunt.
Có ý kiến nhấn mạnh tác động của HaveIBeenPwned đối với nhận thức của người dùng.
Có người cảm thấy SpyCloud có tập dữ liệu lớn hơn và đang trực tiếp hợp tác với các doanh nghiệp để thực sự giảm thiểu việc tái sử dụng thông tin xác thực, nhưng lại chưa được công nhận xứng đáng.
Có người nghĩ về việc trong 10 năm qua, các nạn nhân bị theo dõi, quấy rối có thể đã dùng HaveIBeenPwned để xác định khả năng tài khoản và đời tư của họ bị xâm phạm.
Trang web vẫn giữ quan điểm rằng người dùng phải tự đăng ký trước và ẩn thông tin của mình khỏi kết quả tìm kiếm trước khi kẻ xấu sử dụng dịch vụ.
Có người chia sẻ cách xóa thông tin của mình khỏi tìm kiếm công khai trên HaveIBeenPwned dành cho những ai đặc biệt coi trọng quyền riêng tư.
Có nhắc đến việc Troy Hunt lái mô tô nước và tận hưởng sự tự do.