Datalekzoekmachine Have I Been Pwned is tien jaar oud

Have I Been Pwned, een zoekmachine waarmee gebruikers kunnen opzoeken of hun gegevens zijn buitgemaakt bij datalekken, bestaat tien jaar. De dienst omvat inmiddels bijna dertien miljard accounts die zijn 'gepwned' bij een datalek.

Securityconsultant Troy Hunt begon op 4 december 2013 met Have I Been Pwned, zo schrijft hij in een blogpost ter ere van het tienjarige jubileum. Een dag na de livegang publiceerde Hunt details over de werking van de database, die toen al meer dan 154 miljoen records bevatte. De dienst ontvangt en analyseert databasedumps die afkomstig zijn uit datalekken, en laat gebruikers vervolgens bekijken of ze zijn getroffen door een datalek.

In totaal bevat Have I Pwned meer dan 12,8 miljard accounts, die afkomstig zijn van 731 'gepwnde' websites. Gebruikers kunnen op de HIBP-website hun e-mailadres invullen en vervolgens bekijken bij welke datalekken hun persoonlijke gegevens zijn buitgemaakt. Gebruikers kunnen per geval zien welke soort gegevens zijn uitgelekt, naast het opgegeven e-mailadres.

Door de jaren heen is Have I Been Pwned flink uitgebreid. Inmiddels is het een bekende website met meerdere medewerkers, waarop dagelijks vele miljoenen zoekopdrachten worden uitgevoerd. Hunt ontving voor zijn werk onlangs een bedankje van de Amerikaanse FBI wegens 'uitzonderlijke service in het publieke belang'. De inlichtingendienst draagt sinds 2021 ook bij aan Have I Been Pwned, net als de Britse NCA.

Hunt overwoog in 2019 Have I Been Pwned te verkopen, maar hij zag daar een jaar later van af. Onlangs introduceerde de website een abonnementsdienst, waarmee gebruikers hun eigen domeinnamen kunnen monitoren op datalekken. Tweakers publiceerde in 2021 een uitgebreid interview met Troy Hunt.

Reacties (32)

Jerbo. 4 december 2023 15:36

Voor wie paranoïde is over het verzamelen van emailadressen: wanneer je jouw adres ingeeft, verstuurt je browser enkel de eerste 5 tekens van een hash van je mail naar de server van HIBP. De server antwoordt dan met een lijst van hashes (+ padding) om vervolgens client side te kijken of een van de hashes overeenkomt met die van jouw, en hoeveel keer deze in de database steekt. Zo blijft de server zelf in het ongewisse over de input, maar krijg jij toch informatie over je eigen emailadres.

Uitleg van Troy: https://www.troyhunt.com/...of-sha-1-and-k-anonymity/

[Reactie gewijzigd door Jerbo. op 23 juli 2024 17:29]

JeroenED @Jerbo. • 4 december 2023 16:08

sorry, maar ik zie gewoon mijn emailadres plaintext doorgestuurd worden hoor net als de breaches waar ik in vermeld werd.

https://ibb.co/0y2sRWV

Edit: bovenstaande uitleg gaat op voor de wachtwoord checker (https://ibb.co/Zh2tPyc)

[Reactie gewijzigd door JeroenED op 23 juli 2024 17:29]

Alex3 @Jerbo. • 4 december 2023 17:52

Dat verhindert niet dat je andermans adres kunt checken.

Kenhas @Jerbo. • 4 december 2023 18:12

Kan enkel maar bevestigen wat @JeroenED zegt. Vul je een emailadres in, dan wordt er een GET request uitgevoerd met je volledig adres.

Ik vermoed dat de manier van werken die jij omschrijft, meer dient voor het opzoeken of paswoorden gelekt zijn. Maar kan verkeerd zijn. In ieder geval wordt je email adres gewoon verstuurd

gupfishy 4 december 2023 15:31

wel jammer dat je niet zomaar op een domein kan zoeken als @willekeurigbedrijf.nl
das volgens mij alleen met een betaald account

marinostrus @gupfishy • 4 december 2023 15:45

Je kan wel gratis je domein toevoegen en tot 10 adressen die in een lek voorkomen zijn dan gratis. Zo doe ik het voor men persoonlijk domein. Dus als je 1000 medewerkers hebt, maar er komt er maar max 10 in een lek voor, kan het toch nog gratis

.

Hun prijzen vind ik nog meevallen voor bedrijven:
https://haveibeenpwned.com/API/Key

OruBLMsFrl @marinostrus • 4 december 2023 19:38

€ 100 per maand voor mega bedrijven is peanuts. Heb je heel veel aliassen in gebruik dan is € 100 per maand voor een kleine onderneming alsnog best een bedrag. Lang niet altijd is het 1 adres per persoon... dat was nog best redelijk geweest. Ik snap HBIP ook wel, ergens moet je een grens trekken. Tegelijk is het dus al zelfde prijs als topkwaliteit Netflix als je door de jaren heen 26 adressen hebt verzameld waar eens wat van gelekt is. Let wel: dat hoeven niet allemaal nog huidige, relevante medewerkers te zijn.
Als het zo werkt, dat je dan eeuwig een hoger tarief blijft betalen omwille van het verleden, ook al komt er weinig interessants meer voor je bij, dan is het toch wel een beetje zonde geld in sommige gevallen, als zo een relatief klein bedrijf met dit soort geld ook security dingen kan doen die dagelijks opleveren. Want HBIP is natuurlijk niet de enige online security subscription. Ook dat spul gaat stapelen met andere threat intel sources, company reputation diensten, external vulnerability checkers. Allemaal nuttig, maar voor kleinere ondernemingen lijken het welhaast streaming diensten zoveel heb je er nodig die net een ander smaakje (security) content bieden.

marinostrus @OruBLMsFrl • 4 december 2023 20:16

Je kan die in het overzicht verwijderen, dus daar hebben ze gelukkig rekening mee gehouden.

muffer @gupfishy • 4 december 2023 15:37

Dat is indaard jammer, aan de andere kant moet zo'n website natuurlijk ook de rekening betalen en als dat niet kan met donaties heb ik het liever dat ze dan power functies achter een betaalde muur zetten dan de website volladen met reclames.

De gemiddelde consument met een zwak wachtwoord heeft veel meer behoeft aan deze service dan de meeste powerusers. Het is dus belangrijk dat die mensen met een zo laag mogelijke drempel de dienst kunnen gebruiken.

the_stickie @muffer • 4 december 2023 23:12

Ook powerusers worden slachtoffer van breaches.
Powerusers hebben (hopelijk) wel door dat wachtwoorden hergebruiken echt dom is. De impact van een breach is kleiner - maar niet onbestaand.
Powerusers leven jammer genoeg soms in de waan van onkwetsbaarheid. 'ik weet wat ik doe dus ik heb dienst X niet nodig'

Alcmaria 4 december 2023 15:10

Ik kan me nog herinneren dat op wat meer wazige sites wel eens de banner voorkwam "MAYBE YOUR CREDITCARD CREDENTIALS HAVE BEEN ALREADY STOLEN ." en daaronder een invul boxje met dat je je creditcardnummer je vervaldatum en je CVV/CVC waarde in moest vullen om te checken of je niet al de sjaak was.

Ik vraag me serieus af hoeveel mensen dat toen hebben gedaan...

Hetzelfde gevoel had ik in het begin bij have I been pwned .. dat bleek achteraf een onjuist gevoel :-)

Finger @Alcmaria • 4 december 2023 15:15

Ik dacht ook, mooie manier van emails verzamelen en checken welke nog steeds in gebruik zijn.

multipasser @Finger • 4 december 2023 15:17

Weten we het zeker dat ze geen data doorspelen?

GoBieN-Be @multipasser • 4 december 2023 15:33

Lees de informatie op de site na.
Het staat er duidelijke uitgelegd hoe ze te werken gaan (hashes gebruiken en dergelijke).
En als je het nog niet vertrouwt, niet gebruiken.

Lagonas @GoBieN-Be • 4 december 2023 15:58

Hoewel ik de site zelf veel gebruik en deze in principe ook compleet vertrouw is een pagina met uitleg over hoe ze te werk gaan uiteraard geen garantie dat dat ook echt zo is. Er zijn in het verleden genoeg websites geweest die beweerde alles goed en correct te beveiligen en achteraf blijkt dat alle wachtwoorden met MD5 waren weggeschreven, en soms nog erger, zonder ook maar enige encryptie / obfuscatie. En dat is utieraard enkel over de beveiliging en niet over het eventueel verkopen van data.

[Reactie gewijzigd door Lagonas op 23 juli 2024 17:29]

bjp @Alcmaria • 4 december 2023 15:17

ze vragen gewoon je email... en dan kijken ze of, in de lijsten van lekken, je email erin voorkomt.

Tuurlijk is er altijd het 'risico' dat deze website je email-address 'harvest' (voor spam of zo).

Wat mij wat 'tegenvalt' is dat je niet kan zeggen, ja mijn email komt in deze vorige lijst hacks voor, maar ik heb al mijn passwords aangepast...

[Reactie gewijzigd door bjp op 23 juli 2024 17:29]

drakiesoft @bjp • 4 december 2023 15:27

Zonder captcha of enkele beveiligd whatsoever. Het zou een mooie site zijn om je email te verifiëren en jouw ip adres te loggen. Ik zou hier ver van wegblijven, de fbi is niet voor niets in z'n nopjes met de grootste verzameling persoonlijke data ooit aangevuld met geverifieerd email adres en bijbehorende ip adressen + overige gebruikers gegevens om je digitale profiel compleet te maken.

Dat gezegd hebbende iedereen kan dus jouw email adres checken en zien wat voor sites je lid bent. Heb ik ooit toestemming gegeven dat ze dat mogen doen met mijn gegevens? En nee dat die gegevens op straat liggen, geeft ze nog niet het recht dit op hun site te publiceren. Lijkt me een mooie case voor het AVG.

[Reactie gewijzigd door drakiesoft op 23 juli 2024 17:29]

Alex3 @drakiesoft • 4 december 2023 17:49

Dat gezegd hebbende iedereen kan dus jouw email adres checken en zien wat voor sites je lid bent.

Inderdaad onveilig dat dat kan. Het is toch een kleine moeite om te verifiëren dat het je eigen adres is.

PdeBie @drakiesoft • 4 december 2023 18:01

Dat gezegd hebbende iedereen kan dus jouw email adres checken en zien wat voor sites je lid bent.

Mits er een lek is geweest uiteraard.

bjp @drakiesoft • 4 december 2023 15:30

je kan een VPN gebruiken, je kan ook iedereen in je contacten erin gooien om wat rare logging te omzeilen...

je kan ook een publieke WiFi gebruiken.

[Reactie gewijzigd door bjp op 23 juli 2024 17:29]

CivLord

Privacy

@drakiesoft • 5 december 2023 09:45

En nee dat die gegevens op straat liggen, geeft ze nog niet het recht dit op hun site te publiceren. Lijkt me een mooie case voor het AVG.

Klopt, dat mogen ze niet zomaar doen. En dat doen ze dus ook niet.
Er wordt op de site helemmaal geen lijst van gegevens gepubliceerd. Misschien eerst eens even de site zelf bekijken voordat je onzin begint te roeptoeteren.

drakiesoft @CivLord • 5 december 2023 14:30

Er wordt een lijst met sites uitgepoept waarvan je gegevens op straat liggen. En wat ze achter de schermen aan jouw info bijhouden daar moet je hun maar op hun blauwe ogen geloven dat ze dit netjes hebben vernietigd. Maar die data hebben ze dus wel in handen gehad, hoe komt men anders aan deze info en ook voor die data gelden de privacy wetten. Dus misschien niet zelf van alles roeptoeteren.en aannemen wat zulke louche partijen voor jou bedenken onder het mom van veiligheid.

CivLord

Privacy

@drakiesoft • 7 december 2023 07:31

Misschien moet je nog even jouw bericht en mijn reactie daarop nalezen, voordat je uit je slof schiet.
Nergens op de site wordt een lijst met gelekte emailadressen gepubliceerd en daar heb ik je op gewezen. Zoals je zelf in je vervolgbericht al aangeeft wordt van een ingegeven emailades enkel aangegeven of deze in bekende lekken naar buiten zijn gekomen.

HIBP een louche partij noemen is geheel voor jouw rekening en wordt niet weerspiegeld in de mening van de cybersecurity-community en wetshandhavingsdiensten.

drakiesoft @CivLord • 7 december 2023 08:26

Misschien moet je mijn reacties gewoon even goed doorlezen. Ik zeg nergens dat er een lijst email adressen gepubliceerd wordt.
Alleen dat deze geverifieerd worden doordat je er onder angst heen gelokt wordt en daarmee je email adres verifieerd. Ze weten dus dat het een geldig adres is en hebben meteen jouw ip adres en nog meer info. Verder als je jouw mailadres invoert krijg je een lijst te zien met sites waar eea gelekt is. Dat is dus info die iedereen kan weten als je ze jouw email adres invoeren. Er is geen captcha. Dit is hoogst kwalijk, het gaat niemand wat aan als ik ergens lid van ben. Ze houden geen rekening met privacy settings van betreffende gehackt sites. Maar het feit dat ze die info überhaupt daar lokaal hebben opgeslagen, heb ik geen toestemming voor gegeven. En dat het verder gelekte info is wat op straat zou liggen, staat daar helemaal los van. Verder dat de fbi zo positief is, dat is mooi voor hun, maar bij mij gaan hier rode lampen branden. Onder het mom van veiligheid geven we massaal onze gegevens weg, zo ook die zogenaamde password managers. Waar iedereen braaf hun wachtwoorden in vastlegd.

UniPer @bjp • 4 december 2023 15:29

Eens, wanneer je deze site één keer gebruikt heb en je vervolgens wel je wachtwoorden hebt aangepast, verliest het een beetje z'n waarde. Je moet dan zelf door tijd bijhouden wanneer je e.e.a hebt geupdate om te weten hoe actueel het overzicht nog is van breaches.

In mijn optiek zou zo'n vinkje inderdaad perfect zijn en zeker z'n meerwaarde bieden.

Wouterie @bjp • 4 december 2023 15:33

Dat zou inderdaad een mooie toevoeging zijn. Dan kunnen ze je wellicht een ander vlaggetje geven o.i.d.

Jeroenzer @Alcmaria • 4 december 2023 15:18

Och man, vooral op die warez sites.... drama

UniPer @Jeroenzer • 4 december 2023 15:27

Warez? Weet niet waar je het over hebt

Jeroenzer @UniPer • 5 december 2023 08:42

Toen het internet nog een beetje onschuldig was

UniPer @Jeroenzer • 5 december 2023 10:10

Hehehe...mooie tijden om op terug te kijken. FxP sites, Warez, serials.ws (bestond toen nog)...fijn dat we dat nog mee hebben mogen maken.

Tapijtmepper 4 december 2023 18:59

Die website is voor mij persoonlijk heel belangrijk geweest om mensen bewust te maken dat hun data gelekt is.

En dat was de eerste stap voor ze om hun wachtwoorden en data beter te beheren.

Fantastisch initiatief!

GenomDalar1983 4 december 2023 16:58

Pas 10 jaar? Mijn gevoel zegt een stuk langer, net zoals tweakers al 25 jaar is...

Op dit item kan niet meer gereageerd worden.

Datalekzoekmachine Have I Been Pwned is tien jaar oud

Lees meer

Interview: Troy Hunt - Have I Been Pwned

Reacties (32)

Sorteer op:

Weergave: