无论是由于站点使用的技术,还是任何手动在幕后处理数据,为什么这个漏洞检测站点似乎毫无疑问是安全的?
如果安全性不正确,您作为用户(无论是否被破坏/泄露)使用此工具的数据是否会被用来对付您(参见下面的示例)?该网站/项目正在做什么或使用什么来防止这种情况发生?
如果您访问此站点,输入您的信息,您至少提供了潜在的布尔复选框:“访问者 [YourUsernameProvided] 愿意检查。”
这不是有价值的数据吗?如果外面的黑帽有一个 2,000,000 的列表,并且他们获取/拦截该站点提供的数据,他们不能得到一个更小的 12,000 列表吗?“关心”的目标的精选列表?“关心的目标”可以表示“有价值的目标”。它可以表示“活动的目标”。甚至可能是“实际上是人类而不是机器人的目标”。
另一方面,如果您使用该网站检查您的多个用户名,您是否可能会制作一个“所有这些用户名都已从该位置访问过”的列表,从而将您的所有在线角色捆绑在一起?
这一切听起来像是给黑帽子的免费工作。那么,有哪些技术或方法可以防止此类事情发生呢?
服务创建者的这篇文章可能会回答您的一些问题。
可能感兴趣的具体细节:
这是一篇关于 Pwned Passwords 功能的附加文章:
https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity
值得注意的是,作为可下载列表的 Pwned 密码仅提供散列密码。关于这是否构成可以被利用的密码字典存在一些问题,但鉴于它根本没有将密码与使用它们的人或在哪里相关联 - 将它们反转以使用它们不会那么有价值。虽然有些人可能不认为这是一个令人满意的答案……但这些密码已经存在。
最近的“Collection #1”违规,有超过 12,000 个来源,足以证明 Have I Been Pwned 并不是唯一一个汇总此类信息的信息。竞争并没有把你的最大利益放在心上。
Pwned Passwords 作为查找服务使用 k-匿名性来提供一定的安全性。它的工作原理基本上是这样的:
我看不到未来,所以我不知道这些信息集合是否会以任何有意义的方式被利用......但据我所知,我是否被 Pwned 是作为一项有用的服务提供的为了公共安全,几乎没有任何收获。
我不确定您从哪里获得“毫无疑问是安全的”声明。他们问自己这个问题,并清楚地解释他们声称他们正在尝试做些什么来限制相关人员的风险。信不信由你,但这个问题被积极提出。
其次,是否可以将用户描述为“关心的人”?当然。怎么会有风险?这比任何人在 Internet 上为 Internet 安全所做的任何检查都具有更高的风险吗?我不确定你从哪里得到“关心 == 价值”的逻辑。它不跟随。除了查看访问了哪些用户名之外,还有许多其他方法可以更丰富地获取此信息。
请注意,公司使用自动化方法检查自己的电子邮件地址,所以我不确定收集这些使用数据是否有明确的价值。
第三,记住他们正在处理的数据已经是公开的。所以黑帽没有更容易的工具。