サインアップしていない場合、「Iwn Pwned」のようなサービスがメールを送信しないのはなぜですか?
データベースが侵害され、パスワードと電子メールが漏洩した場合、 pwnedされましたか? にアクセスすると、パスワードが漏洩したことがわかります。しかし、通知を受けるためにサインアップせずに、サービスが私の漏洩したパスワードを通知するメールを送信しないのはなぜですか?
私の経験では、ハッキングされて潜在的にお金を失った後、多くの高齢者が自分のパスワード管理が貧弱であることに気づきました(どこでも同じパスワードです)。これで、ハッキングされたすべてのパスワードを通知する電子メールを受け取ることができ、ショックにより、パスワードマネージャーの使用が強制される可能性があります。
これが存在しない主な理由は、送信するメールが多すぎるためです。すべてのユーザーのリークされたサービスのリストを合計すると、数百万または数十億の電子メールを送信する必要があり(複数年に分散している場合でも)、これによりすべてのメールサービスでブロックされる可能性があります。
このサービスが存在しない他の理由は何ですか?
まず第一に、Iwn Pwned(HIBP)は権限ではありませんが、無料の Troy Huntが提供するサービス です。実際には、同様のサービスプロバイダーが多数あります。 (アルファベット順のいくつかの選択肢):
- アバストハックチェック
- BreachAlarm Avalanche Technology Group
- DeHashed
- Firefoxモニター
- F-Secure ID盗難チェッカー
- ハッキングリークチェッカー (Androidアプリ)
- 私は売られたか Bitfalls
あなたのアドレスが違反に巻き込まれるたびに、それらすべてがあなたにメールを送り始めたらどうなるか考えてください!一方、通常、セキュリティ違反を検出すると 時間がかかります となり、盗まれたデータの一部のみが公開されます。例えばHIBPでは、一部のデータは 追加 違反の数日後ですが、場合によっては数年かかることもあります。その種の通知を送信する単一の機関があったとしても、一部の電子メールアドレスが使用されなくなる可能性は十分にあります。一部のアドレスは偽造される可能性さえあります。
ところで、誰にも迷惑メールを送信しないことは、ハント氏が唯一の方法ではない プライバシーを尊重する ;あなたはサービスに公にリストされることをオプトアウトすることさえできます。
説明する機能は存在しますが、完全に自動化されているわけではありません。 HaveIBeenPwnedに移動し、上部にあるNotify Meをクリックします。あなたはあなたの電子メールを入力することができ、違反が発生し、あなたのパスワードの1つが漏洩したときにそれはあなたに通知します。
今あなたの実際の質問:なぜこれは自動的ではないのですか?私はそこにあると思います 二 これには3つの単純な理由があります。
- 膨大な量のメールは信じられないほど、非常にコストがかかります。 Mailgunを例にとると、プレミアム階層には月額$ 90で100.000のメールが含まれます。最初は、それはたくさんのように聞こえるかもしれません。ただし、5億を超えるメールアドレスが侵害されている可能性があります。これらの負荷は非アクティブになる可能性がありますが、確信が持てないため、5億の電子メールを送信する必要があります。簡単な計算(
500 000 000 / 100 000 * 90 = 450 000)は、信じられないほどの毎月のコストを明らかにします。簡単に言えば、HaveIBeenPwnedにはおそらくリソースがないだけです。 - 信頼私の推測では、このような通知を受け取るユーザーの割合は非常に低いため、実際にHaveIBeenPwnedを知っていると思います。つまり、聞いたことがないサービスや、サインアップしたことのないサービスからメールを受け取ることは、基本的にスパムであり、したがって信頼違反です。
- HIBPは侵害データに対する権限ではありません。 @EsaJokinenがすでに指摘したように、セキュリティ侵害についてユーザーに通知するプロバイダーが多数あります。そのような通知に対する単一の権限はないので、アカウントが違反で発生したときにこれらのプロバイダーのすべてがオプトインなしでメールを送信するとどうなるかを想像してください-あなたは通知メールで攻撃されます。