Have I Been Pwned biedt abonnement om domeinen te monitoren op datalekken

Have I Been Pwned komt met een abonnementensysteem waarmee grote bedrijven kunnen controleren of e-maildomeinen bij een datalek betrokken zijn geweest. Er blijft een gratis variant beschikbaar waarbij maximaal tien gecompromitteerde e-mailadressen zijn toegestaan.

Tot dusver was het opzoeken van een mailadres in de database van twaalf miljard records volledig gratis, ook voor partijen die een heel domein wilden checken. HIBP-oprichter Troy Hunt schrijft daarentegen dat specifiek domeinzoekopdrachten zeer duur zijn. Daarom wil hij dat bedrijven voortaan gaan betalen voor bulkzoekopdrachten.

Domeinen waarvan tot tien e-mailadressen 'gepwned' zijn, kunnen nog steeds gratis van de service gebruikmaken. Dat zou om 60 procent van alle domeinen binnen de HIBP-database gaan. De overige 40 procent, verdeeld over categorieën van ieder 10 procent van alle domeinen, moeten volgens het nieuwe abonnementensysteem grofweg 4, 17, 29 of 115 dollar per maand betalen voor de vermelding van een bepaald aantal uitgelekte e-mailadressen per maand, afhankelijk van het abonnement.

Op de vernieuwde domeinzoekpagina staat dat klanten eerst moeten bewijzen dat ze een opgegeven domein beheren, waarna ze toegang krijgen tot een speciaal dashboard. Hier kunnen ze de aangeboden gegevens inzien. Klanten krijgen een e-mailnotificatie als nieuwe e-mailadressen binnen het opgegeven domein in een nieuwe database voorkomen. HIBP biedt klanten ook een domeinzoek-api aan, die iets anders werkt dan de openbare api voor reguliere e-mailadressen.

In de gebruikersvoorwaarden zegt HIBP dat er een speciale regeling is voor wat het 'domain creep' noemt. Klanten hebben in principe recht op de vermelding van een beperkt aantal 'breached adresses'. Als er nieuwe e-mailadressen in datalekken verschijnen en dit eigenlijk buiten het huidige abonnement zou vallen, hebben klanten tot de volgende facturatiedatum om het abonnement te upgraden.

Abonnement Maximum aantal uitgelekte e-mailadressen Prijs per maand*
Pwned 0 Tot 10 Gratis
Pwned 1 Tot 25 $ 3,95
Pwned 2 Tot 100 $ 16,95
Pwned 3 Tot 500 $ 28,50
Pwned 4 Onbeperkt $ 115,-

*Vooralsnog zijn geen europrijzen bekendgemaakt.

Door Yannick Spinner

Redacteur

08-08-2023 • 16:35

58

Submitter: Anonymoussaurus

Reacties (57)

Sorteer op:

Weergave:

Op zich prima dat er een (duidelijk) verdienmodel wordt toegepast. Maar het is wel een vervelende prijsstelling. 500 mailadressen is voor een middelgrote organisatie vrij weinig, maar de kosten voor een onbeperkt aantal zijn dan weer relatief hoog als je een stuk of 800 adressen hebt...

Toevallig onlangs het domein van mijn werkgever geverifieerd, maar vrees dat ik nu toch even een businesscaseje moet gaan schrijven :+
Als je in totaal 800 emailadressen hebt en 500+ ervan komen voor bij HaveIBeenPwned, dan kun je beter al je mailadressen gaan vervangen, naast de wachtwoorden en gelijk ook een cursus inkopen hoe mensen met hun gegevens moeten omgaan, hoe ze goede wachtwoorden moeten gebruiken en investeren in een password manager voor je gebruikers.
.
En 350 euro per jaar is toch een schijntje bij tot 500 gelekte adressen en wachtwoorden. Zelfs 1500 euro voor onbeperkt is voor een middelgroot bedrijf een schijntje. Dat is minder dan 2 euro per adres per maand.
Je legt nu een relatie tussen in de database zitten en slecht wachtwoordbeheer..

Zeker, veel gebruikers kunnen beter. Maar het is niet zo dat als 75% van je e-mailadressen in deze database staan, dit aan je gebruikers ligt.

Als jij als bedrijf gebruik maakt van bv. LastPass of een andere dienst welke gehackt is, dan sta je al in de database..
Hier kan een gebruiker met een wachtwoordzin van 32 karakters weinig aan doen.

Voor zakelijk gebruik vind ik dit een dure dienst. Zeker als je 10+ domeinnamen hebt.
Je kan hier beter investeren in een goede MFA + SSO oplossing en zorgen dat al jouw kritische diensten intern/extern van dezelfde SSO oplossing gebruik maken.

Alle bekende diensten ondersteunen SSO integraties waardoor dit relatief makkelijk is op te zetten.

Dit maakt het voor beheer makkelijk met onboarden/offboarden en voor de gebruikers.

(Zelf hebben we al 60+ applicaties in Okta SSO gekoppeld voor onze medewerkers).
yep ik stond in de database ondermeer dankzij Dropbox en Adobe. Nou was het wel zo dat mijn password beleid slecht was en na wat gezeur met accounts die overgenomen werden (spreek hier van denk ongeveer 6-8 jaar terug?) was 1password snel aangeschaft. Men leert het snelste met blaren.
E-mailadressen vervangen in een zakelijke omgeving? Zou knap zijn als jij dat er doorheen krijgt...

Het is inderdaad zo dat veel mensen beter met hun gegevens op kunnen gaan, maar vaak komt je ook in bepaalde databases zonder dat je er echt wat aan kan doen.
Zo wordt zelfs LinkedIn gescraped en zijn er helaas mensen die diensten als Zoominfo gebruiken waardoor een contact ervoor zorgt dat jouw gegevens in hun database terecht komt
True, maar als je geen aktie denkt te gaan ondernemen. Waarom zou je dan een volledige query doen van je domein naar deze service? Wat wil je er uit halen en wat ga je doen met de informatie?

Als je er geen aktie op gaat ondernemen, hoef je je ook geen zorgen te maken dat het je nu max. 1500 dollar per jaar gaat kosten, want dan query je de service toch al zonder reden.

Overigens worden mailadressen regelmatig veranderd bij bedrijven. Vaak door overgang naar ander domein, of door overnames of door groei waarbij wordt overgegaan naar voornaam.achernaam etc. Mail wordt dan nog wel een half jaar tot een jaar doorgezet, maar dan is het toch wel over.

[Reactie gewijzigd door SunnieNL op 22 juli 2024 13:27]

Organisatie met 800 e-mail adressen die een breach hebben heeft waarschijnlijk een veelvoud aan e-mail adressen. Eerder richting de 4000.
Terecht punt. Het is mij echter onduidelijk wat er gebeurt als je een abonnement van 500 adressen hebt en er 501 leaks zijn. Als je dan een seintje krijgt, is het op zich prima. Dan kun je op dat moment een duurder abonnement afnemen. Daar moet ik me nog even in verdiepen.

Overigens is het wel zo dat oude e-mailadressen, bijvoorbeeld van mensen die al lang niet meer bij ons werken, er ook in blijven staan. Vermoedelijk tellen deze adressen ook mee.
Zie https://www.troyhunt.com/...rch-subscription-service/

Alle domeinen die je aan het begin van je subscription periode kan zoeken kan je de hele periode doorzoeken.

Dus als je er nu 499 hebt en voor een jaar afsluit kan je een jaar lang zoeken op die domeinen.
Maar er zit natuurlijk wel veel oude meuk tussen die niet meer gebruikt wordt door bedrijven, die service kan ook niet weten wat wel of niet nog relevant is voor een bedrijf, een bedrijf wat vandaag 100 medewerkers heeft kan er over de afgelopen 10 jaar wel 300 hebben gehad en oudere adressen hebben een grotere kans om gelekt te zijn dan nieuwere adressen en de hoeveelheid ongebruikte meuk groeit met de dag. Kun je dat als bedrijf opschonen bij hen of ga je jarenlang teveel betalen?
Als je bericht krijgt dat er 500 mailadressen gelekt zijn en je hebt er 501 in je bedrijf, mag je er gerust van uitgaan dat die laatste óók wel gelekt is...
1400 op jaarbasis moet voor een grotere organisatie peanuts zijn
Sure. Maar 10x1400 euro per jaar voor verschillende diensten tikt toch aan. Vergelijkbaar met streaming-abonnementen voor consumenten. Als je Netflix, Amazon Prime, Disney+, AppleTV, HBO Max en NPO Plus neemt dan tikt het ook behoorlijk aan.

In mijn geval gaat het ook nog om gemeenschapsgeld (overheid) dus daarbij extra belangrijk dat het geen weggegooid geld is. (Om zure reacties voor te zijn: ja er zijn zeker overheden die hier rekening mee houden ;))
Voor een bedrijf met honderden mailadressen/gebruikers, zou 14k/jaar ook peanuts moeten zijn...
Of die uitgaven daarmee zinvol en verantwoord zijn, is een andere zaak
In mijn geval gaat het ook nog om gemeenschapsgeld (overheid) dus daarbij extra belangrijk dat het geen weggegooid geld is.
Er zijn dingen waar je niet op moet besparen. als overheid! En een gemeente met meer als 500 email adressen. Waar gegevens van gelekt zijn? Dan is 1400,- euro per jaar niks.
Om zure reacties voor te zijn: ja er zijn zeker overheden die hier rekening mee houden ;)
:X :X :X
Dat kan verder gaan dan enkel veiligheid.
Je wilt als overheid (of bedrijf) natuurlijk ook graag weten wie met zijn werk-email geregistreerd staat bij een gare porno-site. Wanneer je dan een seintje krijgt dat P.Puk@Overheid.nl voorkomt in een in van Pornosite.com, dan is er in ieder geval wat gespreksstof bij het volgende functioneringsgesprek van Pietje Puk. :)
Het verdienmodel lijkt een loterij. Als slachtoffer ben je overgeleverd aan de willekeur van criminelen en HIBP wat betreft hoeveel adressen er in HIBP gevonden kunnen worden. Maar je legt als bedrijf kennelijk wel een vast bedrag per maand in om kans te maken dat het de inleg waard is. En hoe meer je betaalt, hoe meer kans genoeg terug te krijgen.
Ik weet dat sommige mensen een beetje giftig worden van deze opmerking, maar een bedrijf met een paar honderd werknemers heeft écht wel de draagkracht om elke maand €115 te missen - mits ze data breaches serieus genoeg namen (maar anders gebruiken ze HIBP waarschijnlijk sowieso al niet).

Het is natuurlijk eigenlijk ook gek dat een service als HIBP gratis zou moeten zijn, het kost natuurlijk veel geld om de boel draaiende te houden. Als vermogende bedrijven er dan dankbaar op grote schaal gebruik van maken dan is de verhouding natuurlijk wel een beetje scheef, die kunnen best een steentje bijdragen.
Dat is balen... Ik gebruik een 'catch-all' mailbox met specifieke mail adressen voor alle 'leveranciers' in de vorm van <leverancier>@mij.sub.domein. Daarmee wil ik dus voor alle mail adressen in mijn domein weten of ze gecomprimeerd zijn. Die 100 adressen ben ik al ruim voorbij.
Als jij al die adressen ergens anders gaat invoeren geef je de partijen waar je die gebruikt hebt dan geen plausible deniability?
Dat zou kunnen maar is het realistisch?

Stel ze hacken de db van tweakers. Dan is dat tweakers@eigendomein.nl in het record.

Dan zou die hacker weten dat mijn mail bol@eigendomein.nl bij bol is. Maar op een db van laten we zeggen 400.000 records? Is dat een aardige klus om te gaan uitvogelen.
Bor Coördinator Frontpage Admins / FP Powermod @RobbyTown8 augustus 2023 21:42
Stel ze hacken de db van tweakers. Dan is dat tweakers@eigendomein.nl in het record.

Dan zou die hacker weten dat mijn mail bol@eigendomein.nl bij bol is. Maar op een db van laten we zeggen 400.000 records? Is dat een aardige klus om te gaan uitvogelen.
Een dergelijke check / test is zeer eenvoudig te scripten. Je denkt toch niet dat men een dataset van 400.000 records manueel gaat nalopen en proberen?
Nee dat word gescript dat snap ik nog wel dat is een stap extra. Data die eruit komt is niet heel betrouwbaar meer.

Nu weet ik niet hoe Have I Been Pwned precies aan die data komt. Vanuit bedrijf dat is hackt of de lijst die op internet is gedumpt.

Stel het is de gelekte lijst met script erover dan ga ik veel info krijgen die niet klopt (voor gelekte adressen tikt het bij Have I Been Pwned dan ook lekker aan terwijl er maar 1 lek is).

Of doet Have I Been Pwned nog iets van een checken samen met het bedrijf?
Om zo een betrouwbare gelekte lijst te krijgen.

Stel tweakers word gehackt.

tweakers@eigendomein.nl
Dan maakt het script
bol@eigendomein.nl
(Mogelijk ook nog met wachtwoord? Daar zit geen logica in dat is altijd 16 tekens compleet random dus email en wachtwoord gaat niet kloppen)

Lijst die op internet is gelekt worden ingeladen bij Have I Been Pwned zonder enige check.

Maar in werkelijkheid is het
bol.shop@eigendomein.nl

bol@eigendomein.nl en tweakers@eigendomein.nl is dan gelekt (bij tweakers). Dat adres (bol@eigendomein.nl) heb ik nergens gebruikt + er worden bij Have I Been Pwned 2 gelekte adressen geteld terwijl in werkelijkheid maar 1 is.

Mocht dat script 10 bekende shops email adressen maken dan tikt voor Have I Been Pwned ook goed aan.

Hopelijk heeft Have I Been Pwned iets moois dat ze alleen kloppende data importeren ipv vervuiling.

Edit: typos

[Reactie gewijzigd door RobbyTown op 22 juli 2024 13:27]

De gelekte lijsten zijn de kale lijsten zoals ze van een bedrijf binnen gehengeld zijn.
Een script dat kijkt naar patronen waarmee andere email-adressen zijn te voorspellen wordt door een hacker gedraaid die de adressen zelf wil gebruiken. Do voorspelde adressen komen niet in de lijsten van HIBP terecht.
[...]


Een dergelijke check / test is zeer eenvoudig te scripten.
@beerse mailadressen aanmaken per inlog is dus geen oplossing om datalekken te voorkomen, al vind je wel snel waar het lekte.
Het mooiste is dat de gelekte adressen eenvoudig zijn om te leiden. Zo heb ik bijvoorbeeld adobe@account.demon.nl al jaren op de zwarte lijst staan en hoefde ik dat alleen maar bij adobe aan te passen.

Bijkomend voordeel sinds de mail adressen ook als login/account naam wordt gebruikt: Het account wordt elders niet gebruikt dus kunnen ze proberen daar mee in te loggen tot ze een ons wegen.
Omdat er betrekkelijk weinig gebruikers zijn die de catch all gebruiken zoals ik, ervaar ik dat die gegokte mail adressen niet worden gebruikt door de gemiddelde spammer. Mogelijk is dat anders als je het op een mailbox met een 2-niveau domeinnaam doet.

Wat ik wel doe: Bij de eerste registratie wordt het mail adres organisatie@account.freedom.nl ([shameless plug] https://freedom.nl/diensten/mail). Mocht ik merken dat ik op organisatie@account.freedom.nl spam binnen komt, dan maak ik een filter om die mail weg te sluizen (of helemaal te negeren). Bij de organisatie verander ik dan het mail adres in zoiets als org2023@account.freedom.nl. Indien nodig dan dat dus ook meteen in de password-kluis aanpassen natuurlijk.
yep, ik zit al op de 20 breached adressen, dus helaas geen hibp voor mij meer :(
Het gaat enkel over breached adressen en niet totaal adressen. Dus zolang je nog geen 10 adressen hebt die in de hibp lijst staan is het nog altijd gratis voor je volledig domein.
Dat is met random webshops en internet diensten al snel natuurlijk, die gaan allemaal wel eens een keertje lek lijkt het. Ook blijft HIBP oude lekken hiervoor eeuwig meetellen als ik het zo lees, dat loopt enorm op met de Linkin lekkage van 2011 uit mijn hoofd, Adobe 2014 of iets. Catch-all gaat juist ideaal om voor elk nieuwe plek waar je een mailadres moet achterlaten, dat je altijd kan vertrouwen op bedrijfsnaam@mijn-catchy-all.tld
als het er 11 zijn zie je dan wel de 10?
De vraag die ik heb is, mag hij wel geld verdienen aan het beschikbaar stellen van deze specifieke data? Lijkt mij een grijs gebied?
Waarom niet? Welke data wordt beschikbaar gesteld?
Het is gestolen data. Je kan het zien als heling. Als ik gestolen data publiceer dan is het strafbaar, maar op ihbp niet? Dat vind ik vreemd.
Hij publiceert geen data in die zin, hij verwerkt datalekken; maakt de emailadressen in die datalekken doorzoekbaar als jij kan verifieren eigenaar te zijn van dat adres. daarnaast geeft hij aan welk lek het mailadres in voorkomt. das dus wel een toegevoegde service, ipv dat hij gestolen data publiceert.
Maar alsnog, wat wordt er gepubliceerd want dat kan ik hier niet uit halen?

Overigens slaan ze alle email adressen volledig gehashed op, dus het is niet zo dat ze de data zelf zomaar in handen hebben.
Nou ja, ze hebben die hash natuurlijk wel zelf in beheer.
Maar wat hebben ze aan een hash dan? En ze publiceren ook geen hashes.
Ik heb het vermoeden dat HIBP e-mailadressen niet alleen maar als hash opslaat, maar wellicht ook versleuteld onder andere data zoals het domein waar het e-mail adres onder valt. Als ik bij HIBP een domain search doe krijg ik een lijst van alle e-mail adressen onder dat domein die bij een datalek aangetroffen zijn. Dat zou met gehashte data niet kunnen dus moeten e-mail adressen ook nog op een andere manier opgeslagen zijn.

Dat is dan ook meteen de meerwaarde die ze verkopen. Als beheerder van de e-mail infrastructuur voor een bedrijf kan ik zo makkelijk een lijst met alle uitgelekte e-mailadressen van het bedrijf zien.

[Reactie gewijzigd door Jordy141 op 22 juli 2024 13:27]

Bij welke diensten mijn data is gelekt. Er is geen verificatie om te checken of ik eigenaar ben van dat e-mailadres. Stel jij weet mijn e-mail adres en komt er via hibp achter dat ik lid was van Ashley Madison, dan heeft die link gevolgen voor mij. Of wat dacht je van een dropbox waar ik mn data heb staan. Dat gaat niemand wat aan en een hibp-like website ook niet.
Hij levert een dienst.. een dienst die veelal gratis is. Voor kleine zoekopdrachten geen probleem. Maar grote uitvragen kosten wel geld. Opslag, dataverkeer, hosting, infrastructuur.

Waarom zou hij geen geld mogen vragen voor het verzamelen en beschikbaar stellen? Hij neemt daarmee een hoop werk uit handen bij die bedrijven. Anders moeten ze zelf al die lijsten langs gaan om te kijken of hun gebruikers en daarmee zijzelf gevaar lopen.

[Reactie gewijzigd door SunnieNL op 22 juli 2024 13:27]

Ondanks het nobele doel en het vertrouwen wat ik in hem heb, wordt het weergeven van resultaten nu een verdienmodel en dat is toch wel iets anders dan teren op donaties welke onafhankelijk zijn van de weergegeven resultaten. Het kan ook motiveren om maar zoveel mogelijk gegevens in je database te krijgen en zelfs aanzetten tot het aankopen van grote gelekte datasets wat weer stimulerend werkt voor hackers.

Dus ja ik ben van mening dat men hier wel even goed over mag nadenken of dit nog wel door de beugel kan. jij en ik mogen ook niet zomaar elke gelekte database binnen hengelen ongeacht of wij die daarna wel of niet encrypten. (En waar zijn de Encryptiesleutels/Hashcodes? want zonder dezelfde versleuteling kun je nooit controleren of een mailadres wel of niet voorkomt in je eigen set)
Het zijn 2 lijsten. Een met mailadres en welke hack hij uit voort komt en een andere met wachtwoorden. Volgens mij zelfs zonder koppeling.

Je moet de vraag stellen:
Waarom doneren die bedrijven niet die een publieke dienst onevenredig bevragen.
Blijkbaar vinden ze de informatie nuttig, anders zouden ze niet zulke grote queries doen.
Door dit soort grote opvragingen van een bedrijf wordt de infra en hosting erachter onevenredig belast. Doe je daar niets aan, dan stopt de dienst en daar wint niemand iets mee. De dienst is als eerste opgezet voor particulieren, als waarschuwing voor de normale mens. Niet voor bedrijven om hun hele domein te controleren.
Ik zag niet of de oude functie blijft bestaan.
Dus dat je een email krijgt indien er een email is gevonden voor je domein.

Tevens snap ik niet dat z'n dienst voor kleine gebruikers/particulieren gewoon $ 5,- / p.j. kan zijn.
Het is altijd per maand +5/10 dollar wat ik zelf erg veel vindt.
Volgens mij is er nu een verschil tussen consument en enterprise gebruikers. Waarbij de consument een e-mail ontvangt bij een lek en de enterprise klant ook een dashboard functie heeft waarvoor betaald moet worden.
Per e-mail is en blijft gewoon gratis. Het is enkel voor complete domein monitoring
Het nadeel van HIBP is dat het alarm afgaat ook als alleen je email in een breach
zit. Zoals b.v. in een SPAM-lijst. Ik wil weten wanneer wachtwoorden gevaar lopen.

Zeker als ik voor meerdere accounts moet betalen dan gebruik ik liever https://scatteredsecrets.com/, dan krijg ik alleen alarm als er daadwerkelijk wachtwoorden gestolen en gekraakt zijn.
Je ziet alleen “leaked passwords found” bij die scattered secrets. Nieteens van welke datalek of waar het vandaan komt. Dus daar heb je ook niet veel aan.
Dan moet je aanmelden :)
Dan zie je de plain wachtwoorden en bron.
Kan je uitleggen waarom je die wachtwoorden specified zo erg vind?

Met een password manager heb je sowieso random unieke wachtwoorden.
Bor Coördinator Frontpage Admins / FP Powermod @rullzer8 augustus 2023 21:41
Het wachtwoord is natuurlijk het meest gevoelige deel van een username / password combinatie. Bij veel diensten is de username gelijk aan het e-mail adres welke vaak makkelijk te raden is of gewoon is te vinden.
Eens over passwordmanager. Dit is ook wat ik doe. Maar te moeilijk voor veel familie. Die gebruiken overal (een variatie) van hetzelfde wachtwoord, hoe vaak je ze het ook uitlegt 8)7 Daarom wachtwoorden interessant.

Andersom: dat een email zonder aanmeldgegevens gelekt is boeit me niet. Ten eerste is het geen dreiging. Ten tweede wist ik al dat mijn email misbruikt wordt voor SPAM door in m'n mailboxen te kijken :)
Een password manager is handig voor veel verschillende diensten. Maar van sommige diensten is het wel erg makkelijk (zo niet noodzakelijk) dat je er ook toegang toe kan krijgen wanneer in het buitenland te telefoon gestolen/ verloren/ defect is en je enkel met een geleende telefoon/ laptop/ PC of bij een internetcafé het internet op kan. Voor die diensten heb je toch een wachtwoord nodig dat je makkelijk kan onthouden en nog steeds weet wanneer je het een aantal jaar niet gebruikt hebt.
Jammer, ben al pwned op een aantal adressen van mijn domein en vind het een prettige service.

Heb het domein particulier en doe er naast email niet bijzonder veel mee, maar de prijzen zijn niet echt consument vriendelijk
Hoe zit dat dan met virusscanners want die bieden in hun abbos ook een email breache check aan en kijken ook bij hibp
Voor 115 dollar per maand heb je een onbeperkt aantal, dat is makkelijk terug te verdienen als USP binnen een abonnementsdienst
En wat gebeurd er met integraties zoals met 1password?

Op dit item kan niet meer gereageerd worden.