Have i been pwned

Project Svalbard

Five years into Have I Been Pwned, Hunt could feel the burnout coming.

“I could see a point where I would be if I didn’t change something,” he told me. “It really felt like for the sustainability of the project, something had to change.”

He said he went from spending a fraction of his time on the project to well over half. Aside from juggling the day-to-day — collecting, organizing, deduplicating and uploading vast troves of breached data — Hunt was responsible for the entirety of the site’s back-office upkeep — its billing and taxes — on top of his own.

The plan to sell Have I Been Pwned was code-named Project Svalbard, named after the Norwegian seed vault that Hunt likened Have I Been Pwned to, a massive stockpile of “something valuable for the betterment of humanity,” he wrote announcing the sale in June 2019. It would be no easy task.

Hunt said the sale was to secure the future of the service. It was also a decision that would have to secure his own. “They’re not buying Have I Been Pwned, they’re buying me,” said Hunt. “Without me, there’s just no deal.” In his blog post, Hunt spoke of his wish to build out the service and reach a larger audience. But, he told me, it was not about the money.

As its sole custodian, Hunt said that as long as someone kept paying the bills, Have I Been Pwned would live on. “But there was no survivorship model to it,” he admitted. “I’m just one person doing this.”

By selling Have I Been Pwned, the goal was a more sustainable model that took the pressure off him, and, he joked, the site wouldn’t collapse if he got eaten by a shark, an occupational hazard for living in Australia.

But chief above all, the buyer had to be the perfect fit.

Hunt met with dozens of potential buyers, and many in Silicon Valley. He knew what the buyer would look like, but he didn’t yet have a name. Hunt wanted to ensure that whomever bought Have I Been Pwned upheld its reputation.

“Imagine a company that had no respect for personal data and was just going to abuse the crap out of it,” he said. “What does that do for me?” Some potential buyers were driven by profits. Hunt said any profits were “ancillary.” Buyers were only interested in a deal that would tie Hunt to their brand for years, buying the exclusivity to his own recognition and future work — that’s where the value in Have I Been Pwned is.

Hunt was looking for a buyer with whom he knew Have I Been Pwned would be safe if he were no longer involved. “It was always about a multiyear plan to try and transfer the confidence and trust people have in me to some other organizations,” he said.

Hunt testifies to the House Energy Subcommittee on Capitol Hill in Washington, Thursday, Nov. 30, 2017. (AP Photo/Carolyn Kaster)

The vetting process and due diligence was “insane,” said Hunt. “Things just drew out and drew out,” he said. The process went on for months. Hunt spoke candidly about the stress of the year. “I separated from my wife early last year around about the same time as the ,” he said. They later divorced. “You can imagine going through this at the same time as the separation,” he said. “It was enormously stressful.”

Then, almost a year later, Hunt announced the sale was off. Barred from discussing specifics thanks to non-disclosure agreements, Hunt wrote in a blog post that the buyer, whom he was set on signing with, made an unexpected change to their business model that “made the deal infeasible.”

“It came as a surprise to everyone when it didn’t go through,” he told me. It was the end of the road.

Looking back, Hunt maintains it was “the right thing” to walk away. But the process left him back at square one without a buyer and personally down hundreds of thousands in legal fees.

After a bruising year for his future and his personal life, Hunt took time to recoup, clambering for a normal schedule after an exhausting year. Then the coronavirus hit. Australia fared lightly in the pandemic by international standards, lifting its lockdown after a brief quarantine.

Hunt said he will keep running Have I Been Pwned. It wasn’t the outcome he wanted or expected, but Hunt said he has no immediate plans for another sale. For now it’s “business as usual,” he said.

In June alone, Hunt loaded over 102 million records into Have I Been Pwned’s database. Relatively speaking, it was a quiet month.

“We’ve lost control of our data as individuals,” he said. But not even Hunt is immune. At close to 10 billion records, Hunt has been “pwned” more than 20 times, he said.

He laughed. “It still surprises me the places that I turn up.”

Related stories:

• Have I Been Pwned is looking for a new owner
• 1Password nets partnership with ‘Have I Been Pwned’
• After account hacks, Twitch streamers take security into their own hands
• Oracle’s BlueKai tracks you across the web. That data spilled online
• We found a massive spam operation — and sunk its server

Не все агрегаторы утечек одинаково безопасны

В рамках этого материала я предложил вам самый крупный и популярный сервис, однако если вы воспользуетесь поиском, обнаружите значительно большее количество агрегаторов утечек. Не всеми подобными сервисами безопасно пользоваться.

Часть из них ориентирована на фишинг, когда у пользователя запрашивают данные якобы для проверки, а на самом деле используют их для кражи аккаунта или для продажи. Некоторые подобные сервисы прямо запрашивают у пользователя логин и пароль, без которых проверка вроде как невозможна.

Есть и другая категория сервисов, которые после ввода данных сообщают об их утечке. Иногда они сверяются с публичной базой данных другого сервиса, реже просто вводят пользователя в заблуждение, даже не проверяя данные (работает это как фейковые бесплатные антивирусы, находящие у жертвы несуществующие угрозы и требующие деньги за их удаление).

После проверки жертве предлагается ряд платных услуг по удалению данных, утекших в сеть. Я не проверял эффективность подобных сервисов, но выглядит это как обман. Мне неизвестно действенных методов удаления утекших данных, особенно распространившихся в даркнете, продаваемых или выложенных не на одном десятке ресурсов.

Но есть и другой тип подобных сервисов, на мой взгляд, куда более опасный для пользователей. Такие сервисы не просто дают возможность проверить, но и при желании приобрести утекшие данные. Иногда доступ к базам подобных сервисов доступен по подписке, иногда можно купить конкретный обнаруженный в базах аккаунт.

В сети последние годы активно развивается услуга сбора информации или так называемой цифровой разведки, когда специально обученные люди занимаются поиском данных о жертве. Они ищут сообщения, интересы, знакомства, любую активность и иную информацию, запрашиваемую заказчиком.

Иногда это сотрудники правоохранительных органов или представители частных компаний, занимающихся расследованиями киберпреступлений, ищущие информацию о хакерах. Иногда это частные детективы, активно внедряющие в последние годы услуги разведки и шпионажа в киберпространстве.

Сегодня вы использовали аккаунт на сайте знакомств, завтра забыли про него. Сайт был взломан – и аккаунт оказался в руках продавцов персональных данных. Через десяток лет вы становитесь успешным политиком или бизнесменом, и ваши враги заказывают сбор компромата на вас. Вот тогда и может всплыть этот самый злополучный аккаунт и все переписки, где вы по молодости или под действием алкоголя вполне могли наговорить лишнего.

Совет

Вспомните и удалите все неиспользуемые аккаунты сайтов знакомств, социальных сетей, форумов, электронной почты

К счастью, правоохранительные органы разных стран борются с подобными сервисами. Например, популярный сервис LeakedSource, продававший доступы к более чем трем миллиардам утекших аккаунтов, однажды ушел в офлайн, а на одном из форумов появилось сообщение от пользователя, осведомленного о ситуации.

Позже появилась информация, что предполагаемый владелец LeakedSource Онтарио Джордан Блум арестован канадской полицией и обвиняется в торговле идентификационной информацией, несанкционированном использовании компьютера, а также в хищении данных и владении имуществом, полученным преступным путем. Как писали СМИ, теневой агрегатор утечек принес ему около четверти миллиона долларов США.

Еще раз хочу отметить, что легальные сервисы отличаются от нелегальных тем, что вы можете проверить аккаунт на предмет утечек, но ни получить, ни купить пароль или хэш пароля, другую информацию, находящуюся в утекших данных, вы не можете.

Сайт проверки почты на взлом

Сегодня я хочу рассказать о специальном онлайн-сервисе, который содержит информацию о всех ранее взломанных веб-сайтах, базы данных которых попали в сеть. С помощью данного сайта вы можете узнать находится ли ваш почтовый ящик в одной из украденных баз данных. Сайт называется HaveIBeenPwned (был ли я взломан). Термин Pwned (You have been pwned!) переводится как «Тебя отымели». Данный термин изначально использовался х@керами, а позже геймерами.

Кроме этого вы можете узнать информацию о каждом отдельном взломе. В списке сервиса большое количество взломанных когда-либо сайтов, таких как: mail.ru, спрашивай.ру. yandex.ru, forbes, yahoo, snapchat и т.д.

Автором сайта является некий Австралиец. Сайт работает с 2013 года.

Не быть эгоистичным ублюдком

Когда я реализовал вышеописанное решение, то понял, что наверняка у других людей возникала подобная проблема. Вероятно, многие другие тоже скачивают базу HIBP и проводят поиск по ней. Поэтому я решил поделиться своей работой.

Перед этим я ещё раз пересмотрел свой подход и нашёл пару проблем, которые хотел бы исправить, прежде чем выкладывать код и инструменты на Github.

Во-первых, как конечный пользователь я не хотел бы использовать инструмент, который создаёт много странных файлов со странными именами, в которых непонятно что хранится и т. д.

Хорошо, это можно решить, объединив файлы «00»..»FF» в один большой файл.

К сожалению, наличие одного большого файла для сортировки порождает новую проблему. Что делать, если я хочу вставить хэш в этот файл? Всего один хэш. Это всего лишь 20 байт. О, хэш начинается с «000000000..». Ну, ладно. Давайте освободим для него место, переместив 11 ГБ других хэшей…

Вы поняли, в чём проблема. Вставка данных в середину файла — не самая быстрая операция.

Ещё один недостаток этого подхода в том, что нужно снова хранить первые байты — это 555 МБ данных.

И последнее, но не менее важное: двоичный поиск по данным, хранящимся на жёстком диске, намного медленнее, чем обращения к оперативной памяти. Я имею в виду, что это 30 операций чтения с диска против 0 операций чтения с диска

Обновите пароли! Это надо сделать каждому, кто установит iOS 14 на iPhone

В закладки

В iOS 14 много новых возможностей, но одна из них – критически важная. Отсюда и заголовок такой «жёлтый». Прочитаете и поймёте.

Если у вас уже установлена бета-версия, не тяните с этой фичей. А тем, кто ждёт официального релиза, советую добавить статью в закладки и вернуться к ней сразу после выхода финальной сборки.

Apple уделяет много внимания теме безопасности личных данных, и теперь этот принцип заложен гораздо глубже, да и польза неоспорима.

Делаем следующее

1. Заходим в Настройки -> Пароли

2. Удивляемся тому, что написано в разделе Рекомендации по безопасности.

Сколько у вас там предупреждений? У меня 71 штука. У кого мало, советую выйти из этого меню на пару минут при активном интернете и вернуться обратно. Очень вероятно, что количество проблемных записей вырастет в два раза.

Что за Рекомендации по безопасности и почему они важны

Начиная с iOS 14, Apple предупреждает пользователей системы о повторяющихся, небезопасных, легко угадываемых и уже «слитых» в интернет паролях . Это и есть «Рекомендации по безопасности».

Функция доступна абсолютно каждому владельцу устройства с iOS 14, iPadOS 14 и/или macOS Big Sur.

В самом верху обновлённого меню Настройки -> Пароли теперь отображается отдельная вкладка, где высвечиваются все проблемные пароли, хранящиеся в Связке ключей – те, что вы когда-либо вводили на любом устройстве Apple.

Раздел обновляется регулярно и автоматически, поднимая актуальные данные о взломанных сайтах и слитых базах личных данных, хранящиеся на серверах Apple.

Здорово, что компания сделала эту систему полностью обезличенной. В Apple не знают, какие из ваших паролей скомпроментированы, повторяются и так далее. Парольные фразы пользователя сверяются с базой на сервере с использованием криптографического шифрования, а определение угроз производится прямо на самом устройстве. Результаты проверки никуда не отправляются.

Из-за этого первичное определение угроз может занять несколько минут. Девайсу нужно время, чтобы сверить каждую из локальных записей.

Как работать с Рекомендациями по безопасности

Слово «рекомендации» в названии стоит не зря. Пароли и логины в этом расстрельном списке условно поделены по группам. Первая – Высокий приоритет:

► уже украденные и потенциально известные кому угодно

► часто используемые другими и поэтому легко угадываемые

► повторяющиеся на нескольких сайтах, что повышает риск при взломе любого из них

Пункты по этим трём категориям высвечиваются гигантскими баннерами с полным описанием проблемы.

Пролистав этот список, найдёте ещё один, но короче – Другие рекомендации, где указаны проблемы вторичной важности. Например:. ▹ в пароле повторяются фразы и числа, что облегчает его подбор

▹ в пароле повторяются фразы и числа, что облегчает его подбор

▹ пароль используется на других сайтах, но нечасто (до 3 раз)

При совпадении сразу нескольких факторов риска (например, пароль и украден, и легко подбирается), iOS 14 распишет каждый из них.

Для каждого проблемного пароля высвечивается ссылка, по которой можно перейти на соответствующий сайт и поменять его . Советую использовать автоматически сгенерированные пароли, которые предложит Safari. Они всегда сложные, плюс автоматически сохраняются в Связке ключей.

Так что вперёд, менять свои пароли

В бета-версии iOS 14 не все фразы полностью переведены на русский язык. К финальной поправят.

Некоторым придётся сидеть долго в этом меню, но итог того стоит: у вас будут сложные, уникальные пароли везде, где только можно.

Потому что не проходит и недели без новостей о том, как где-то взломали крупный сайт и сервис. А ведь оно – только верхушка айсберга. Сколько небольших сайтов и магазинов ломают ежедневно, а их владельцы об этом не догадываются или просто не рассказывают…

Единственный вариант от этого защититься – следить через инструменты, вроде Рекомендаций по безопасности iOS 14, как ваши пароли с логинами всплывают в той или иной базе. И менять их, конечно.

Apple в этом плане молодцы, потому что похожие инструменты сейчас либо вписаны в другие экосистемы (например, Google Chrome, от которого вообще пора отказываться), либо стоят денег или даже подписок (привет, 1Password!). А тут всё прямо в операционке, удобно.

В закладки

С — секретность

На работе выдали приказ: сделать «защищенные» ноутбуки. В переводе с hr-овского на it-шный это обозначает зашифрованный.

До кучи установили bootloader с паролем.

Зашифровали, все хорошо, выдаём новенькие компьютеры пользователям, получаем сто вопросов, в том числе про пароль. Объясняем, что надо его запоминать, и тут одна мадам нам сообщает:

— А вот в приказе руководства написано, что пароль от ноутбука должен быть распечатан и приклеен на него!

И правда, так и написано в приказе.

Вот такая секретность и безопасность.

Может наши хакеры не то чтобы взламывали выборы в Америке, а просто по распечатанному паролю вошли.

Брендинг

Название «Меня обманули?» основан на сценарий kiddie жаргонный термин «pwn «, что означает» поставить под угрозу или взять под контроль другой компьютер или приложение «.

Логотип HIBP включает текст , что является обычным SQL-инъекция строка атаки. Хакер, пытающийся получить контроль над базой данных веб-сайта, может использовать такую ​​строку атаки, чтобы заставить веб-сайт запустить вредоносный код. Инъекционные атаки являются одним из наиболее распространенных векторов взлома базы данных; они являются самой распространенной уязвимостью веб-приложений №1 на OWASP Список 10 лучших.

[G]rep

У нас текстовый файл с хэшем в каждой строке. Вероятно, для поиска лучше всего использовать grep.

Мой пароль оказался вверху списка с частотой более 1500 раз, так что он реально отстойный. Соответственно, результаты поиска вернулись практически мгновенно.

Но не у всех слабые пароли. Я хотел проверить, сколько времени займет поиск наихудшего варианта — последнего хэша в файле:

Результат:

Это печально. Ведь поскольку мою почту взломали, я хотел проверить наличие в базе всех своих старых и новых паролей. Но двухминутный grep просто не позволяет комфортно это сделать. Конечно, я мог бы написать скрипт, запустить его и пойти прогуляться, но это не выход. Я хотел найти лучшее решение и чему-то научиться.

А что нужно сделать, если вы обнаружили утечку ваших данных?

По рекомендации сервиса «Have I Been Pwned?», первое, что нужно сделать, — это исключить повторяющиеся пароли, которые использовались на многочисленных сайтах. Мы почти всегда для удобства и простоты используем один и тот же короткий пароль, именно поэтому настоятельно рекомендуется использовать в паролях уникальные и трудно угадываемые комбинации символов и цифр. Смените пароли ваших аккаунтов!

Скрин №5 – 3 рекомендации сервиса «Have I Been Pwned?».

Во-вторых — включите двухфакторную аутентификацию, когда это возможно.

В третьих — измените ответы в системах восстановления паролей, на такие вопросы, как «В каком городе вы родились?». Это является трудоемким процессом, но это нужно сделать.

Двоичный поиск

У хэшей SHA-1 две приятные черты: они сопоставимы между собой и все они одного размера.

Благодаря этому мы можем обработать исходную базу данных HIBP и создать файл из отсортированных значений SHA-1.

Но, как отсортировать файл 22 ГБ?

Вопрос. Зачем сортировать исходный файл? HIBP отдаёт файл со строками, уже отсортированными по хэшам.

Ответ. Я об этом просто не подумал. В тот момент я не знал о сортированном файле.

Сортировка

Сортировка всех хэшей в оперативной памяти — не вариант, у меня не так много оперативной памяти. Решение было таким:

1. Разделить большой файл на меньшие, которые поместятся в RAM.
2. Загружать данные из небольших файлов, сортировать в оперативной памяти и записывать обратно в файлы.
3. Объединить все маленькие, отсортированные файлы в один большой.

С большим отсортированным файлом можно искать наш хэш с помощью двоичного поиска. Доступ к жёсткому диску имеет значение. Давайте посчитаем, сколько обращений требуется при двоичном поиске: , то есть 30 обращений. Не так уж и плохо.

На первом этапе можно произвести оптимизацию. Преобразовать текстовые хэши в двоичные данные. Это сократит размер результирующих данных вдвое: с 22 до 11 ГБ. Отлично.

Зачем сливаться обратно?

В этот момент я понял, что можно поступить умнее. Что, если не объединять маленькие файлы в один большой, а проводить двоичный поиск в отсортированных маленьких файлах в оперативной памяти? Проблема в том, как найти нужный файл, в котором искать ключ. Решение очень простое. Новый подход:

1. Создать 256 файлов с названиями «00»… «FF».
2. При чтении хэшей из большого файла записывать хэши, которые начинаются с «00..», в файл с названием «00», хэши, которые начинаются с «01..» — в файл «01» и так далее.
3. Загружать данные из небольших файлов, сортировать в оперативной памяти и записывать обратно в файлы.

Всё очень просто. Кроме того, появляется ещё один вариант оптимизации. Если хэш хранится в файле «00», то мы знаем, что он начинается с «00». Если хэш хранится в файле «F2», то он начинается с «F2». Таким образом, при записи хэшей в небольшие файлы мы можем опустить первый байт каждого хэша! Это 5% от всех данных. В общем объёме экономится 555 МБ.

Параллелизм

Разделение на файлы меньшего размера даёт ещё одну возможность для оптимизации. Файлы независимы друг от друга, поэтому мы можем сортировать их параллельно. Мы же помним, что все ваши процессоры любят потеть одновременно

Как на iOS найти все взломанные пароли

iOS 14 – это обновление, которое, помимо множества новых функций, сильно усовершенствовало системные механизмы безопасности. Несмотря на то что в ходе тестирования Apple пришлось временно отказаться от внедрения некоторых из них по инициативе сторонних разработчиков, все остальные нововведения, направленные на защиту пользователей, всё-таки поступили в релиз. Но если большинство из них работает в пассивном режиме, то как минимум одно предполагает непосредственное участие пользователя в обеспечении собственной безопасности.

Теперь iOS умеет определять взломанные пароли

Речь идёт о функции «Рекомендации по безопасности». Она состоит в автоматической проверке паролей на iOS, которые хранятся в «Связке ключей» на iPhone или iPad. iOS анализирует пароли на предмет взлома и сообщает об этом пользователю. На самом деле похожий механизм был в операционной системе и раньше, но фиксировал только слишком простые и повторяющиеся комбинации, а теперь может обнаруживать среди них те, что были взломаны. В результате, если вы получили уведомление о том, что пароль есть в списке украденных, его следует немедленно изменить и защитить учётную запись от компрометации.

Этот пароль есть в списке украденных. Что делать

Включать проверку учётных данных принудительно нужно только один раз. После этого система будет анализировать их на защищённость в пассивном режиме непрерывно без вашего участия. От вас лишь потребуется в случае обнаружения украденных паролей на iPhone заменить их на новые и более безопасные. А чтобы вам было проще, iOS сама предложит сконфигурировать безопасную комбинацию, который будет невозможно так просто подобрать.

Как проверить взломанные пароли на iOS

• Перейдите в «Настройки» и откройте вкладку «Пароли»;
• Подтвердите вход отпечатком пальца или лицом и откройте «Рекомендации по безопасности»;

Определение взломанных паролей происходит в пассивном режиме

• Включите параметр «Выявлять украденные пароли», а затем дождитесь появления списка взломанных паролей;
• Нажмите «Изменить пароль на веб-сайте» и войдите в аккаунт на сайте, который откроется;

Здесь же можно заменить пароль на новый

• Перейдите в профиль и измените пароль, выбрав тот, что предложит Safari;
• Подтвердите смену пароля и убедитесь, что аккаунт исчез из числа незащищённых в «Настройках».

Как узнать, что пароль взломан

Have I Been Pwnd — обширнейшая база данных взломанных паролей

Apple утверждает, что системный механизм черпает информацию о взломанных паролях на iOS на специализированных ресурсах. В Купертино не раскрывают своих источников, но на самом деле таких существует не очень много. Одна из самых популярных баз данных такого типа – Have I Been Pwned. Её создатели публикуют там учётные данные аккаунтов, которые были взломаны, черпая их на открытых площадках и в даркнете. Правда, если вы введёте либо логин, либо пароль, вы получите просто подтверждение или опровержение того, что аккаунт взломали, тогда как в готовом виде они не хранятся. Не исключено, что Apple берёт все сведения о взломах именно там.

Важно понимать, что сам факт того, что iOS пометила ваш пароль как взломанный, совершенно не означает, что взломан был именно ваш аккаунт. Просто возможно, что пароль, который вы используете, ранее использовал другой человек, и взломана была именно его учётная запись

Но поскольку учётные данные так или иначе попали в базы данных взломщиков, практически наверняка они будут использоваться для подбора паролей в инструментах взлома GrayShift или Cellebrite. Поэтому не пренебрегайте сменой учётных данных – на всякий случай.

Новое в iOS 14: Как проверить все ваши пароли на взлом прямо в iOS на iPhone (по базе украденных паролей)

Каждое новое обновление iOS привносит не только новые функции, но и улучшение уже существующих

Не исключением стала iOS 14, в которой особое внимание уделяется вопросам безопасности. Изначально Apple планировала внедрить много новых инструментов, но в ходе тестирования некоторые из них по просьбе сторонних разработчиков пришлось отложить

Тем не менее немалому числу полезных функций нашлось место в релизе. Большинство из них работает в пассивном режиме, пользователь этого даже не замечает. Но одна функция дает возможность пользователю принять непосредственное участие в обеспечении собственной информационной безопасности.

Мы говорим о новой функции «Рекомендации по безопасности». Как видно из ее названия, Apple решила помочь пользователям решить этот вопрос. Осуществляется автоматическая проверка хранимых в «Связке ключей» на iPhone и iPad паролей. Они подвергаются анализу операционной системы на предмет взлома, а результат проверки сообщается пользователю. Подобную работу система проводила и раньше, но при этом сомнению подвергались явно простые и популярные комбинации. Теперь же iOS обнаруживает среди них и те, что могли стать известными злоумышленникам. Эта функция дает возможность пользователю вовремя сменить ненадежный пароль и защитить тем самым свои данные.

Пользователи часто пользуются одними и теми же паролями для доступа в различные сервисы или же выбирают простые комбинации, легко подбираемые. В результате взлома одной учетной записи под угрозой оказываются все остальные. Происхождение такой привычки объяснимо – когда не было инструментов хранения паролей, приходилось полагаться лишь на собственную память.

Как в iOS проверить свой пароль на безопасность по базе украденных паролей?

Принудительная проверка пароля на безопасность включается в системе единоразово. После активации функции система уже в пассивном режиме будет анализировать пароли без участия пользователя. От него потребуется лишь ответные действия в случае выявления ненадежности используемой комбинации – заменить ее на новую, более сложную. И даже в этом iOS поможет, предложив создать пароль, который трудно будет быстро подобрать. Вот что для этого надо сделать.

1. Перейдите в Настройки → Пароли.

2. Подтвердите вход в этот раздел с помощью отпечатка пальца или сканированием лица, перейдите в раздел «Рекомендации по безопасности».

3. Активируйте переключатель «Выявлять украденные пароли» и просто дождитесь появления списка потенциально скомпрометированных паролей.

4. При нажатии на проблемный пароль будет представлена подробная информация о подозрении к нему.

5. Нажмите на кнопку «Изменить пароль на веб-сайте» и зайдите в свой аккаунт на открывшемся сайте.

6

Замените пароль профиля, обратив внимание на комментарии браузера Safari о его надежности или выбрав предложенный системой надежный пароль. Его можно будет и не запоминать – он останется в Связке ключей iCloud и будет автоматически вводиться на всех ваших устройствах Apple

7. После подтверждения замены надо убедитесь, что ваш аккаунт уже не значится незащищенным в «Настройках».

Откуда Apple знает, что ваш пароль взломан?

По утверждениям Apple для такой проверки пароля iOS пользуется информацией со специализированных ресурсов. Официально они не называются, но их и немного. Одна из самых известных подобных баз именуется Have I Been Pwned. Создатели этого ресурса публикуют учетные данные уже взломанных аккаунтов, информация о которых была найдена как на открытых площадках, так и в даркнете. Надо лишь ввести на сайте свой логин или пароль, и тут же появится информация об их надежности или известности посторонним людям. Правда, кроме самого факта утечки ничего больше узнать не получится – в готовом и открытом виде учетные данные не хранятся. Вполне вероятно, что Apple черпает информацию о ненадежности вашего пароля именно на этом ресурсе.

Но не спешите расстраиваться, получив неутешительную новость. Факт пометки вашего пароля ненадежным со стороны iOS вовсе не означает взлома конкретно вашей учетной записи. Вполне вероятно, что этим паролем пользовался кто-то другой, и именно его аккаунт и был раскрыт. Тем не менее стоит понимать, что если эти данные уже оказались в базе данных используемых паролей, то с большой вероятностью комбинация будет использована злоумышленниками при подборе паролей с помощью таких инструментов, как GrayShift или Cellebrite

Именно поэтому iOS и рекомендует сменить учетные данные – в вопросах безопасности осторожность лишней быть не может

Интерфейс сайта Have I Been Pwned

После этого откроется главная страница сайта. Сервис «Have I Been Pwned?» работает на английском языке, для большего удобства переведите сайт на русский язык с помощью переводчика в браузере.

Из вкладок меню осуществляется переход на другие страницы сайта. Обычному пользователю будут полезны следующие разделы сайта:

• Во вкладке «Home» происходит проверка почтовых адресов.
• Во вкладке «Notify me» можно зарегистрироваться для получения уведомлений, если аккаунт будет взломан.
• Во вкладке «Domain search» можно получить информацию для поиска по домену.
• Во вкладке «Who’s been pwned» находится подробная информация о ресурсах, которые были подвергнуты взлому в разное время.
• Вкладка «Passwords» служит для проверки паролей.

Как узнать, что пароли попали в Сеть

1. Следите за новостями

Теоретически, если у сервиса случилась утечка паролей, то он должен «обнулить» скомпрометированные данные и прислать пользователям уведомления об этом. Также он должен официально обратиться к пользователям через СМИ с просьбой обновить пароли. Случаи крупных утечек данных, как правило, становятся широко известны. Из недавних случаев: сливы хакерами данных сервиса Яндекс Еда, маркетплейса Wildberries и компании Nestle.

На практике так происходит далеко не всегда. Даже крупные сервисы стараются скрыть утечки, чтобы не навредить своей репутации. А небольшие компании и вовсе не имеют должного уровня безопасности и просто не знают, что у них крадут данные.

Но если вам все же пришло письмо от сервиса с сообщением о взломе, то сменить пароль необходимо.

2. Проверьте пароли в браузере

Многие браузеры предлагают сохранить в них пароли или даже сгенерировать новые, чтобы не нужно было вводить их каждый раз при входе в аккаунты. 

Но хранить пароли в браузере – не лучшая идея, и в недавней статье мы подробно объяснили, почему не рекомендуем этого делать.

Но если вы все-таки сохраняете пароли в браузере для быстрой авторизации на сайтах, то там можно проверить их утечку. Вот как это делается в некоторых браузерах:

В Google Chrome войдите в аккаунт и откройте раздел «Безопасность», затем – «Рекомендации по защите аккаунта». Выберите пункт «Проверьте свои пароли» — система запустит проверку всех паролей, которые вы сохранили в браузере. 

В браузере Яндекс откройте меню (три горизонтальные полоски в правом верхнем углу), выберите «Пароли и карты» – «Проверка паролей».

Фото: яндекс 

В Firefox войдите в «Настройки» – «Управление дополнительными настройками» – «Приватность и защита». Пролистайте до пункта «Логины и пароли». Здесь поставьте галочку напротив «Показывать уведомления о паролях для взломанных сайтов». Также можно открыть раздел «Сохраненные логины» и самостоятельно посмотреть, какие данные были раскрыты.

В Microsoft Edge войдите в свой профиль в раздел «Пароли». В пункте «Сохраненные пароли» кликните на три точки в правом верхнем углу и во всплывающем окне поставьте галочку напротив пункта «Показать надежность паролей». Теперь в разделе будут отображаться украденные, повторно использованные и ненадежные пароли, которые вы сохранили в браузере.

Аналогичным образом проверка паролей работает в Safari, Opera и других. Если вы уже выявили утечку и поменяли пароль, то, конечно, лучше не доверяйте его снова браузеру, а используйте менеджер паролей – так будет безопаснее. 

4. Проверьте входы в аккаунт

Например, во нужно войти в настройки (если пользуетесь мобильным приложением – в «Управление VK ID»). Откройте пункт «Безопасность и вход» и пролистайте до раздела «Последняя активность».

Если вы заметили подозрительные устройства или вход из незнакомого местоположения — это повод сменить пароль.

5. Запустите проверку в менеджере паролей

Большинство менеджеров дает возможность пользователю проверить свои пароли на предмет утечек. Эта опция может называться по-разному, но смысл в том, что менеджер проверяет ваш пароль по базам утечек и предупреждает о раскрытых сведениях. 

Менеджер паролей Keeper

Кроме того, в некоторых программах есть функция мониторинга даркнета — система сообщает, если ваши данные утекли туда.

Менеджер паролей Dash 

Преимущество менеджера заключается в том, что прямо в приложении вы можете поменять раскрытые пароли и их не нужно запоминать.

6. Используйте онлайн-ресурсы для проверки паролей

Существуют также специальные сайты для проверки паролей. На них вы вводите свой номер телефона или адрес электронной почты и система показывает вам, какие именно пароли и с каких ресурсов были украдены.

Самым авторитетным сервисом в этой сфере считается Have I Been Pwned, но есть и другие аналогичные ресурсы:

• Firefox Monitor,
• DeHashed,
• Ghost Project,
• Breach Alarm,
• Sucuri Site Check и др.

Только имейте в виду: на этих сайтах вы также вводите свои данные, так что мы советуем обращаться к ним только в крайнем случае.