Una década de Have I Been Pwned
- Have I Been Pwned es un servicio que permite verificar si el correo electrónico de un usuario fue incluido cuando ocurre una filtración de datos.
- Durante 10 años, este servicio ha brindado información sobre filtraciones de datos a los usuarios y ha contribuido a la seguridad en internet.
- Los usuarios pueden ingresar su dirección de correo electrónico para comprobar si hubo algún incidente en el que se filtrara su información personal.
La opinión de GN⁺
- El servicio Have I Been Pwned cumple un papel importante en la protección de la privacidad y la ciberseguridad.
- Este servicio ayuda a que los usuarios identifiquen fácilmente si sus datos estuvieron expuestos a riesgos, lo que contribuye a fortalecer la conciencia de seguridad.
- Resulta especialmente interesante que haya prestado servicio de forma constante durante un período tan largo como 10 años, lo que refleja el esfuerzo continuo y la evolución en el campo de la ciberseguridad.
1 comentarios
Opiniones de Hacker News
Troy Hunt es un gran activo para los desarrolladores de aplicaciones web. Las medidas de protección contra el credential stuffing son esenciales y, aunque la autenticación de dos factores es la mejor defensa, revisar la base de datos de contraseñas hasheadas de Hunt también es muy efectivo sin exigir trabajo adicional a los usuarios.
Se supone que la mayoría de los compromisos de cuentas provienen del credential stuffing o de la reutilización de contraseñas. Sorprende que las grandes empresas no hagan estas comprobaciones. La implementación es simple y un día basta.
Si eres un ingeniero o CTO en etapa inicial desarrollando una app web, quizá todavía no hayas vivido un ataque de credential stuffing, pero en algún momento te tocará. Cuando ocurra, te enfrentarás a dificultades como responder durante toda la noche y enviar notificaciones de filtración de datos.
Usar la base de datos gratuita de Troy Hunt puede prevenir estas dificultades. Se recomienda usarla.
Se preguntan si Troy Hunt ha hablado en detalle sobre su divorcio, y suponen que fue largo y costoso debido a la división de bienes y la determinación de la propiedad.
Antes el sitio ofrecía una experiencia excelente, pero ahora se siente como un medio para ganar dinero, por ejemplo cobrando $169.50 al año para revisar 100 cuentas comprometidas.
Usan una dirección de correo única para cada sitio web (para detectar filtraciones de datos), pero al intentar buscar resultados del dominio se topan con un error que exige suscripción.
Critican a Troy Hunt por incluir compilaciones de datos públicos como "brechas", inflando artificialmente el número de cuentas comprometidas. Creen que un costo anual de unos $5-12 sería razonable.
Consideran que la aparición de varios nombres de dominio similares a haveibeenpwned.com es un efecto secundario curioso de la fama mediática.
Piensan que los textos de Troy Hunt son muy informativos. Cuentan que leyeron sobre cómo verificar archivos pwned usando k-anonimato sin transmitir la contraseña, y que luego investigaron eso y lo aplicaron en un proyecto profesional.
Los hackers están usando la base de datos de contraseñas pwned para crear correos de phishing convincentes. Se preguntan si la gente realmente cae en esas estafas. La mayoría queda atrapada por los filtros de spam, pero a veces algunos mensajes logran pasar. Agradecen el servicio HIBP y los textos de Troy Hunt.
Destacan el impacto que HaveIBeenPwned ha tenido en la conciencia de los usuarios.
Sienten que SpyCloud no recibe suficiente reconocimiento, a pesar de tener un conjunto de datos más grande y de trabajar directamente con empresas para mitigar en la práctica la reutilización de credenciales.
Reflexionan sobre la posibilidad de que, durante los últimos 10 años, víctimas de acoso hayan usado HaveIBeenPwned para averiguar si sus cuentas y su privacidad pudieron haber sido comprometidas.
El sitio mantiene la postura de que los usuarios deben registrarse primero y ocultar su información de los resultados de búsqueda antes de que actores maliciosos usen el servicio.
Comparten cómo eliminar la propia información de las búsquedas públicas en HaveIBeenPwned para quienes priorizan la privacidad.
Hay una mención a Troy Hunt disfrutando de su libertad mientras anda en jet ski.