【WEB関連】HIBP（have i been pwned）Pwnedされたことがありますか？

・以前チェックしたことがありましたが、reddit検索中にappenに関する口コミをチェック中に出てきたので、備忘録です。

・HIBP（have i been pwned）

-Pwnedされたことがありますか？は、インターネットユーザーがデータ侵害によって個人データが侵害されていないかどうかを確認できるWebサイトです。 ウィキペディア（英語)

Have I Been Pwned? – Wikipedia

https://jp.techcrunch.com/2020/07/21/2020-07-03-have-i-been-pwned/

▲自分が使っている”GMAIL”は2個とも、PWNされていました。

●家族のGMAIL、会社のメールアドレスは大丈夫でした。

■こんな世の中ですが、捨てメールアドレスは常に必要そうです。

Breaches you were pwned in

A “breach” is an incident where data has been unintentionally exposed to the public. Using the 1Password password manager helps you ensure all your passwords are strong and unique such that a breach of one service doesn’t put your other services at risk.

所有された侵害

「侵害」とは、データが意図せずに公開された事件のことです。1Password パスワードマネージャーを使用すると、あるサービスの侵害が他のサービスを危険にさらすことがないように、すべてのパスワードが強力でユニークなものであることを確認するのに役立ちます。

🔶どうりで、10月にAPPENからパスワード変更要請のメールが届いたわけですね。

⇩

Appen Update.

Security Incident Update Jul 30, 2020 You may have heard about a recent security incident regarding Appen. This security incident did not affect Appen Connect accounts (the platform you are on right now). It only affected accounts on the Appen Data Annotation Platform (ADAP), which was formerly known as the Figure Eight / CrowdFlower platform.

Appenのアップデート。

セキュリティインシデントの更新 2020年7月30日 Appenに関する最近のセキュリティインシデントについてご存じの方もいらっしゃるかもしれません。このセキュリティインシデントは、Appen Connectアカウント（現在利用しているプラットフォーム）には影響しませんでした。影響を受けたのは、以前はFigure Eight / CrowdFlowerプラットフォームとして知られていたAppen Data Annotation Platform (ADAP)上のアカウントのみです。

ADAP上のアカウントをお持ちの方は、パスワードは業界標準の暗号化とハッシュ方法で保護されていますが、追加の予防策として、プラットフォームと同じパスワードを使用している可能性のある他のアカウントに関連付けられているパスワードを変更することをお勧めします。アクションがすぐに取られていない場合は、パスワードは次の数日で強制的にリセットされます。

⇩

Appen: In June 2020, the AI training data company Appen suffered a data breach exposing the details of almost 5.9 million users which were subsequently sold online. Included in the breach were names, email addresses and passwords stored as bcrypt hashes. Some records also contained phone numbers, employers and IP addresses. The data was provided to HIBP by dehashed.com.

Compromised data: Email addresses, Employers, IP addresses, Names, Passwords, Phone numbers

アッペン 2020年6月、AIトレーニングデータ企業のAppenはデータ侵害に遭い、約590万人のユーザーの詳細が暴露され、その後、オンラインで販売されることになりました。侵害に含まれていたのは、bcryptハッシュとして保存されていた名前、メールアドレス、パスワードでした。一部の記録には、電話番号、雇用者、IPアドレスも含まれていました。データはdehashed.comによってHIBPに提供されました。

危殆化したデータ メールアドレス、雇用主、IPアドレス、氏名、パスワード、電話番号

＜Pawnという英語から来た短縮言葉かと思っていましたが、ownの言葉の変形だとネットに出ていました。正しいかどうかは別として＞(所有された）

“’Pwn’ is a lot like the sense of ‘own,’ which means ‘to have power or mastery over (someone),’” the Merriam-Webster dictionary explains. “It has also been used to describe the act of gaining illegal access to something.”

メールアドレスの流出が即座に確認できる － 日経パソコン（25SEP17)

頻繁に使っている、GMAILのアドレスで漏れぐらいをチェック。 

このサイトの安全性は分からず。。

●このアドレスは大丈夫そう。

▲このアドレスは3か所で流出。。。。

https://www.troyhunt.com/observations-and-thoughts-on-the-linkedin-data-breach/

The point is that the folks dealing with this incident today are cleaning up someone else's mess. I'm sympathetic to those dealing with the breach and as much as we may feel tempted to blame LinkedIn as an organisation, it's worth remembering there are people dealing with this that are having a pretty miserable time through absolutely no fault of their own.

But of course for me, one of the things at the forefront of my mind after such an incident is how I'm going to deal with the data as it relates to HIBP. This is a bit nuanced, so let me try and fully explain it here:

Have I been pwned

I want to talk about HIBP and the LinkedIn data in a moment, but I want to share a portion of an email I received from someone this weekend first:

I'm not sure if you're aware of leakedsource.com - it's vaguely similar to haveibeenpwned.com in that it allows visitors to find out if they appear in dumps, except it feels like it's being run with more criminal intent. In contrast to your site, they don't give any background on themselves, they also have a paid subscription which allows access to the entire database, including other people's details and plain text passwords. On top of that, to remove one's self from the database for free, you're expected to send even more personal data to them, and then it's done manually, for which they conveniently have a "huge backlog".

I've been aware of Leaked Source for a while and I have thoughts on how they operate which are similar to what's represented in the comment above. What the person who sent me that email wasn't aware of at the time though was that Leaked Source subsequently received some pretty stern words from LinkedIn, most notably the following:

We have demanded that parties cease making stolen password data available and will evaluate potential legal action if they fail to comply