web-dev-qa-db-ja.com

リークで見つからない実際のパスワードによるセクストーション

私はそれらの典型的なセクストーション詐欺(「ドライブバイエクスプロイト」、ウェブカメラで撮影されたもの(鉱山はそれにテープが貼られています)、ビットコインの支払いなど)を受け取りました。問題は、私の古いパスワードが含まれていることです(どこで使用したか覚えていません)。ただし、HaveIBeenPwnedでパスワードを検索しても何も返されません(Last.FMとMyFitnessPalの2つのリークが以前に通知されていますが、アカウントは異なるパスワードを使用します)。

それは私に不思議に思いました:これはかなり古いパスワードのようですので、HaveIBeenPwnedのようなデータベースはどのくらい完全ですか、そして当局以外のそのような新しいエクスプロイトをどこに報告できますか?

32
user32849

HaveIBeenPwnedのようなサービスはかなり広範囲にわたりますが、一般に公開されていない盗まれたユーザー/パスワードリストはまだたくさんあります。たぶん、企業は実際に何が起こったのかを明らかにしなかったし、何が起こったのか気づかなかった、および/またはリストを見つけた研究者がいない。どこかでそのパスワードを含むリストをどこかで見つけない限り、このインシデントを報告しようとする良いオプションはありません。

56
john doe

HaveIBeenPwnedのようなサービスは、攻撃で公に漏洩したパスワードのみを保存します。それ以降、パスワードを変更したかどうかを知る方法はありません。また、パスワードが他の方法で漏洩したかどうかを知る方法もありません。

編集:あなたはそこでパスワードを検索していることに気づきました。ユーザー名やメールアドレスを検索して頑張ってください

6
520

さらに、Troy Huntは以前に侵害された資格情報を受け取ったことがあり、それらをHIBPに含めないことを決定したと述べています。

https://www.troyhunt.com/the-red-cross-blood-service-australias-largest-ever-leak-of-personal-data/

「その結果、私は送信されたコピーを完全に削除してHIBPにロードしないことを提案しました。木曜日の夜の時点で、それはまさに私がやったことです-私が持っていたすべての痕跡を完全に削除しました。これは前例のないことではありません。 VTechのデータ侵害を受けた後のクリーンアップの一部と同じ手順であり、それと同じ理由でそれが理にかなっています。これはVTechと同様に、事件にさらされた人に彼らのデータが可能な限り最大限に含まれていることで、もう少し安心しています。」

実際には、HIBPeのものがすでにしばらくの間「悪者」の間で流通しており、すでに悪用されているか、または努力する価値がないと判断されています。

3
Gary