هل تم امتلاكي ؟

منظمة أسترالية

هل تم امتلاك حسابي من آخرين أو هل تم اختراق حسابي (بالإنجليزية: ? Have I Been Pwned)‏ اختصار (بالإنجليزية: HIBP )‏،[2] هو موقع ويب متخصص في نشر كلمات السر المخترقة،[3] يتيح لمستخدمي الإنترنت التحقق مما إذا كانت بياناتهم الشخصية تم اختراقها من خلال تسريب واختراق البيانات. تجمع الخدمة وتحلل المئات من Database dump التي تحتوي على معلومات حول مليارات الحسابات المسربة، وتسمح للمستخدمين بالبحث عن معلوماتهم الخاصة عن طريق إدخال اسم المستخدم أو عنوان البريد الإلكتروني الخاص بهم أو رقم الهاتف. يمكن للمستخدمين أيضًا الاشتراك ليتم إعلامهم إذا ظهر عنوان بريدهم الإلكتروني في عمليات البحث والتفريغ المستقبلية. تم الترويج للموقع على نطاق واسع باعتباره مورداً قيماً لمستخدمي الإنترنت الراغبين في حماية أمنهم وخصوصيتهم. تم إنشاء الموقع بواسطة خبير الأمن تروي هانت في 4 ديسمبر 2013. اعتبارًا من يونيو 2019 بلغ متوسط عدد زوار الموقع حوالي مائة وستين ألف زائر يوميًا، ويحتوي الموقع على ما يقرب من ثلاثة ملايين مشترك نشط في البريد الإلكتروني ويحتوي على سجلات لما يقرب من ثمانية مليارات حساب.[4]

هل تم امتلاكي ؟
Have I Been Pwned? (بالإنجليزية) عدل القيمة على Wikidata
الشعار
معلومات عامة
موقع الويب
haveibeenpwned.com (الإنجليزية) عدل القيمة على Wikidata
نوع الموقع
البلد الأصلي
التأسيس
4 ديسمبر 2013 عدل القيمة على Wikidata
الجوانب التقنية
اللغة
لغة البرمجة
ترتيب أليكسا
  • 16٬475[1]
    (30 نوفمبر 2017) عدل القيمة على Wikidata
أهم الشخصيات
المالك
المؤسس

التسمية

عدل

هل تم امتلاك حسابي من آخرين (بالإنجليزية: ? Have I Been Pwned)‏ اختصار (بالإنجليزية: HIBP )‏؛ كلمة "Pwned" هي بالأصل "owned" هي مصطلح ظهر بشكل شائع في ألعاب الكمبيوتر وتحديدا لعبة عالم ووركرافت، حيث كلما امتلكت جزء من الخارطة كلمة "pwned" بدل كلمة "owned" ومن الواضح أنها كانت خطا املائي من المطورين فحرف ال P بجانب حرف O على لوحة المفاتيح، ولكنها أصبحت شائعة جدا مع شهرة اللعبة وتعني أنني املكها.[5][6]

الخصائص

عدل

الوظيفة الأساسية لـلموقع منذ إطلاقه يهدف إلى تزويد الجمهور العام بوسيلة للتحقق مما إذا كانت معلوماتهم الخاصة قد تم تسريبها أو اختراقها. يمكن لزوار موقع الويب إدخال عنوان بريد إلكتروني، والاطلاع على قائمة بجميع خروقات البيانات المعروفة مع السجلات المرتبطة بعنوان البريد الإلكتروني هذا. يوفر الموقع أيضًا تفاصيل حول كل خرق للبيانات، مثل الخلفية الدرامية للانتهاك وأنواع البيانات المحددة التي تم تضمينها فيه.

في سبتمبر 2014، أضاف الموقع وظائف مكّنت من إضافة خروقات البيانات الجديدة تلقائيًا إلى قاعدة بيانات HIBP. استخدمت الميزة الجديدة Dump Monitor ، وهو روبوت على تويتر يكتشف وينشر عمليات تسريب كلمات المرور المحتملة الموجودة على مواقع تخزين النصوص وقواعد البيانات pastebin ، وذلك لإضافة خروقات محتملة جديدة تلقائيًا في الوقت الفعلي. غالبًا ما تظهر خروقات البيانات على أدوات لصق قبل الإبلاغ عنها على نطاق واسع؛ وبالتالي، فإن مراقبة هذا المصدر تسمح بإخطار المستهلكين في وقت أقرب إذا تم اختراقهم.[4]

إلى جانب تفصيل أحداث خرق أو تسريب البيانات التي تأثر بها حساب البريد الإلكتروني، يوجه الموقع أيضًا أولئك الذين يظهرون في بحث قاعدة البيانات الخاصة بهم لتثبيت مدير كلمات المرور، وهو برنامج 1Password ، والذي أيده مالك الموقع مؤخرًا، [7] وقد شرح ذلك على الإنترنت على موقعه الإلكتروني [8] وشرح دوافعه وأكد أن الكسب النقدي ليس هدف هذه الشراكة.

كلمات مرور تم تسريبها لغير أصحابها

عدل

في أغسطس 2017، نشر صاحب الموقع 306 مليون كلمة مرور يمكن الوصول إليها عبر بحث على الويب أو تنزيلها بكميات كبيرة.[9]

في فبراير 2018، أنشأ عالم الكمبيوتر البريطاني Junade Ali بروتوكول اتصال (باستخدام K-anonymity ودالة هاش مشفرة) للتحقق بشكل مجهول مما إذا كانت كلمة المرور قد تم تسريبها دون الكشف الكامل عن كلمة المرور التي تم البحث عنها.[10][11] تم تنفيذ هذا البروتوكول كواجهة برمجة تطبيقات API عامة لخدمة الموقع ويتم استخدامها الآن بواسطة العديد من مواقع الويب والخدمات بما في ذلك مديري كلمات المرور [12][13] وامتدادات المتصفح.[14][15] تم تكرار هذا الأسلوب لاحقًا بواسطة ميزة فحص كلمة المرور من جوجل.[16][17][18] عمل Junade Ali مع أكاديميين في جامعة كورنيل لتحليل البروتوكول رسميًا لتحديد القيود وتطوير نسختين جديدتين من هذا البروتوكول يُعرفان باسم استيفاء حجم التردد والتحديد المستند إلى المعرف Frequency Size Bucketization and Identifier Based Bucketization.[19] في مارس 2020، تمت إضافة Cryptographic padding إلى هذا البروتوكول.[20]

تاريخ الموقع

عدل

الإطلاق

عدل
 
تروي هانت ، مبتكر الموقع

في أواخر عام 2013، كان خبير أمن الويب «تروي هانت» يحلل خروقات البيانات لمعرفة الاتجاهات والأنماط. لقد أدرك أن الانتهاكات يمكن أن تؤثر بشكل كبير على المستخدمين الذين قد لا يدركون حتى أن بياناتهم قد تعرضت للاختراق، ونتيجة لذلك بدأ في تطوير موقع HIBP. قال هانت عن دوافعه لبدء الموقع، مشيرًا إلى خرق أمان شركة أدوبي الذي أثر على 153 مليون حساب في أكتوبر 2013: «ربما كان الحافز الرئيسي هو ادوبي».[21]

تم إطلاق الموقع في 4 ديسمبر 2013 مع إعلان على مدونته. في ذلك الوقت، كان الموقع يحتوي على خمسة فقط من خروقات البيانات المفهرسة: Adobe Systems وشركة ستراتفور وشركة Gawker و 2012 Yahoo! Voices hack ، وشركة سوني.[22] ومع ذلك أصبح للموقع الآن وظيفة لإضافة انتهاكات مستقبلية بسهولة بمجرد نشرها للعامة. كتب هانت:[22]

« Now that I have a platform on which to build I'll be able to rapidly integrate future breaches and make them quickly searchable by people who may have been impacted. It's a bit of an unfair game at the moment – attackers and others wishing to use data breaches for malicious purposes can very quickly obtain and analyse the data but your average consumer has no feasible way of pulling gigabytes of gzipped accounts from a torrent and discovering whether they've been compromised or not.»

خروقات البيانات

عدل

منذ إطلاقه، كان التركيز الأساسي لتطوير HIBP على إضافة خروقات البيانات الجديدة في أسرع وقت ممكن بعد تسريبها للجمهور.

في يوليو 2015، عانت خدمة المواعدة عبر الإنترنت آشلي ماديسون، المعروفة بتشجيع المستخدمين على إقامة علاقات خارج نطاق الزواج، من خرق للبيانات، وتم تسريب هويات أكثر من 30 مليون مستخدم للخدمة للجمهور. تلقى خرق البيانات تغطية إعلامية واسعة، ويفترض أن ذلك يرجع إلى العدد الكبير من المستخدمين المتأثرين والعار من وجود علاقة غرامية. وفقًا لـهانت، أدت الدعاية للخرق إلى زيادة بنسبة 57000 ٪ في حركة المرور إلى HIBP. بعد هذا الخرق أضاف هانت وظائف إلى HIBP والتي من خلالها لن تكون الخروقات التي تعتبر «حساسة» قابلة للبحث علنًا، ولن يتم الكشف عنها إلا للمشتركين في نظام إشعار البريد الإلكتروني. تم تمكين هذه الوظيفة لبيانات آشلي ماديسون، وكذلك للبيانات من مواقع أخرى يحتمل أن تكون فاضحة مثل المواقع الجنسية.[23][24]

في أكتوبر 2015، تم الاتصال بـهانت من مجهول والذي قدم له ملف يضم 13.5 مليون عنوان بريد إلكتروني للمستخدمين وكلمات مرور غير مشفرة، مدعيا أنها جاءت وتتبع شركة 000webhost ، وهو مزود استضافة ويب مجاني. ومن خلال العمل مع Thomas Fox-Brewster من فوربس ، تحقق من أن الملف كان على الأرجح حقيقيًا عن طريق اختبار عناوين البريد الإلكتروني منه وتأكيد المعلومات الحساسة مع العديد من عملاء 000webhost. حاول هانت و Fox-Brewster عدة مرات الاتصال بـ 000webhost لتأكيد صحة الخرق بشكل أكبر، لكنهما لم يتمكنا من الحصول على رد. وفي 29 أكتوبر 2015 بعد إعادة تعيين جميع كلمات المرور ونشر مقال Fox-Brewster حول الاختراق، أعلن 000webhost عن خرق البيانات عبر صفحتهم على فيسبوك.[25][26][27]

انظر أيضاً

عدل

المراجع

عدل
  1. ^ "أليكسا إنترنت" (بالإنجليزية). Archived from the original on 2017-11-30. Retrieved 2017-11-30.
  2. ^ Merriam-Webster: What Does 'Pwn' Mean? نسخة محفوظة 2022-10-24 على موقع واي باك مشين.
  3. ^ majdps (27 أكتوبر 2022). "مؤشرات اختراق كلمة مرورك وطرق إصلاحها". المجد الأمني. مؤرشف من الأصل في 2022-11-15. اطلع عليه بتاريخ 2022-11-15.
  4. ^ ا ب "Project Svalbard: The Future of Have I Been Pwned". Troy Hunt (بالإنجليزية). 11 Jun 2019. Archived from the original on 2022-11-15. Retrieved 2019-06-11.
  5. ^ "Have I Been Pwned: FAQs". haveibeenpwned.com. مؤرشف من الأصل في 2022-11-15. اطلع عليه بتاريخ 2022-11-15.
  6. ^ "Urban Dictionary: pwned". Urban Dictionary (بالإنجليزية الأمريكية). Archived from the original on 2022-11-16. Retrieved 2022-11-15.
  7. ^ "Finding Pwned Passwords with 1Password - AgileBits Blog". agilebits.com. 22 فبراير 2018. مؤرشف من الأصل في 2018-11-22.
  8. ^ "Have I Been Pwned is Now Partnering With 1Password". troyhunt.com. 29 مارس 2018. مؤرشف من الأصل في 2022-11-15.
  9. ^ "Need a new password? Don't choose one of these 306 million". Engadget (بالإنجليزية الأمريكية). Archived from the original on 2020-02-15. Retrieved 2018-05-29.
  10. ^ "Find out if your password has been pwned—without sending it to a server". Ars Technica (بالإنجليزية الأمريكية). Archived from the original on 2022-11-15. Retrieved 2018-05-24.
  11. ^ "1Password bolts on a 'pwned password' check – TechCrunch". techcrunch.com (بالإنجليزية الأمريكية). Archived from the original on 2022-11-15. Retrieved 2018-05-24.
  12. ^ "1Password Integrates With 'Pwned Passwords' to Check if Your Passwords Have Been Leaked Online" (بالإنجليزية). Archived from the original on 2022-11-15. Retrieved 2018-05-24.
  13. ^ Conger, Kate. "1Password Helps You Find Out if Your Password Is Pwned". Gizmodo (بالإنجليزية الأمريكية). Archived from the original on 2022-11-17. Retrieved 2018-05-24.
  14. ^ Condon, Stephanie. "Okta offers free multi-factor authentication with new product, One App | ZDNet". ZDNet (بالإنجليزية). Archived from the original on 2022-11-15. Retrieved 2018-05-24.
  15. ^ Coren, Michael J. "The world's biggest database of hacked passwords is now a Chrome extension that checks yours automatically". Quartz (بالإنجليزية الأمريكية). Archived from the original on 2022-11-15. Retrieved 2018-05-24.
  16. ^ Wagenseil I، Paul. "Google's New Chrome Extension Finds Your Hacked Passwords". www.laptopmag.com. مؤرشف من الأصل في 2022-11-15.
  17. ^ "Google Launches Password Checkup Extension to Alert Users of Data Breaches". BleepingComputer (بالإنجليزية الأمريكية). Archived from the original on 2022-11-15.
  18. ^ Dsouza، Melisha (6 فبراير 2019). "Google's new Chrome extension 'Password CheckUp' checks if your username or password has been exposed to a third party breach". Packt Hub. مؤرشف من الأصل في 2022-11-15.
  19. ^ Li، Lucy؛ Pal، Bijeeta؛ Ali، Junade؛ Sullivan، Nick؛ Chatterjee، Rahul؛ Ristenpart، Thomas (6 نوفمبر 2019). "Protocols for Checking Compromised Credentials". ACM. New York, NY, USA: 1387–1403. arXiv:1905.13737. Bibcode:2019arXiv190513737L. DOI:10.1145/3319535.3354229. ISBN:978-1-4503-6747-9.
  20. ^ Ali, Junade (4 Mar 2020). "Pwned Passwords Padding (ft. Lava Lamps and Workers)". The Cloudflare Blog (بالإنجليزية). Archived from the original on 2022-11-15. Retrieved 2020-05-12.
  21. ^ "The Rise of 'Have I Been Pwned?', an Invaluable Resource in the Hacking Age". www.vice.com (بالإنجليزية). Archived from the original on 2022-11-15. Retrieved 2022-11-15.
  22. ^ ا ب "Check if you're the victim of a data breach with 'Have I Been Pwned?'". Graham Cluley (بالإنجليزية البريطانية). 5 Dec 2013. Archived from the original on 2022-11-15. Retrieved 2022-11-15.
  23. ^ Rash, Wayne (28 May 2016). "How Troy Hunt Is Alerting Web Users Ensnared in Huge Data Breaches". eWEEK (بالإنجليزية الأمريكية). Retrieved 2022-11-15.
  24. ^ Price, Rob. "There's an easy way to see whether you've been affected by the Ashley Madison leak and previous massive hacks". Business Insider (بالإنجليزية الأمريكية). Archived from the original on 2022-11-15. Retrieved 2022-11-15.
  25. ^ Brewster, Thomas. "13 Million Passwords Appear To Have Leaked From This Free Web Host - UPDATED". Forbes (بالإنجليزية). Archived from the original on 2022-11-15. Retrieved 2022-11-15.
  26. ^ "What happened?" (بالإنجليزية). 000webhost. Archived from the original on 2022-11-15. Retrieved 2022-11-15.
  27. ^ "تسجيل الدخول إلى فيسبوك". Facebook. مؤرشف من الأصل في 2022-11-15. اطلع عليه بتاريخ 2022-11-15.