ShareThisのWebサイト/ツール(サインアップしていない)について、HaveIBeenPwned.com(サインアップしている)から最近メールが届きました。
そのサービスにサインアップした記憶がありません。
アカウントを回復するとき(パスワードを閉じたり変更したりするかもしれません)、次のようになります。
2つの事実は相互に排他的であると思われます。
私はアカウントを持っていてそれがpwnされたのか、それともアカウントを持っていなかったのですか(したがってHIBPにエラーがあります)?
どうすれば本当の状況を知ることができ、最も安全な行動方針は何ですか?
[〜#〜] faq [〜#〜] から:
サインアップしたことのないサービスに自分のメールアドレスが違反していると表示されるのはなぜですか?
メールアドレスを検索すると、登録したことのないサイトの違反に対してそのアドレスが表示されることがあります。これには多くの理由が考えられます。たとえば、データが別のサービスによって取得された、サービスが別のサービスまたは別の誰かがあなたをサインアップしているというブランド名に変更するなどです。より包括的な概要については、 私がサインアップしたことがないサイトでデータ侵害が発生するのはなぜですか?
一部のサービスでは、メールアドレスを確認せずに登録を許可している、メールアドレスを確認していないアカウントが無期限に保存されているが、ログインできない、または同様の問題がいくつか発生している可能性があります。
AndrolGenhaldの発言に加えて、違反に関連するすべてのアカウントを非アクティブ化しているため、関係なく表示されない可能性が高くなります。
ShareThisは、このインシデントに関連付けられている可能性のあるShareThisアカウントをすでに非アクティブ化しているため、2017年1月より前にアカウントを作成した場合、ログインできなくなる可能性があります。
他のコントリビューターがいくつかの素晴らしい回答で応えてきましたが、私はあなたの質問の最後の部分に焦点を当てます:
どうすれば本当の状況を知ることができ、最も安全な行動方針は何ですか?
著名なセキュリティ研究者であるTroy Huntが [〜#〜] hibp [〜#〜] を立ち上げ、リークされたすべてのデータベースをWebアプリケーションに集約し、ユーザーが侵害された電子メールアドレスを検索できるようにしました。
彼が始めたのは長い道のりでしたが、今では他の多くのWebサイトがあり、Eメール検索を提供するだけでなく、誰でも無料で完全な漏洩データセットをダウンロードできます。
プライバシー法などであまり情報を提供しないHIBPだけに頼るのではなく、完全なダンプファイルをダウンロードして真の情報源に到達できる次の3つを知っています。
このスレッドには少し遅れましたが、クレジットカードを通じて、このthisshare違反についてのアラートを受け取りました。 sharethisにサインアップしたことはありませんが、古いメールをすばやく検索したところ、このサービスを使用して記事を私と共有している人の事例がいくつか見つかりました。したがって、サービスの受信側の人々の電子メールアドレスのデータベースも公開されたと思います。これは、私のアドレスに関連付けられたハッシュされたパスワードリークがなかった理由を説明しています。