Podrobili Have I Been Pwned

Pamiętacie, gdy niecałe dwa miesiące temu pisaliśmy o tym, że oryginalna wersja serwisu Have I Been Pwned (którego polskojęzyczną wersję znajdziecie u nas) została wzbogacona o przeszukiwanie bazy po hasłach? Jak należało się spodziewać, przestępcy również się o tym dowiedzieli. I okazali się wyjątkowo pomysłowi, tworząc… własną kopię serwisu. Efekt jest taki, że faktycznie, sprawdzimy, czy nasze hasło znajduje się w bazie 1,4 mld opublikowanych w sieci par login-odszyfrowane hasło (klientów usług Orange Polska informowała o tym fakcie CyberTarcza). Gorzej jednak, że hasło, które wpiszemy, nie będzie – jak w oryginalnym serwisie – hashowane. W efekcie zatem oddamy je z własnej woli w ręce przestępców. Potem mamy dwa wyjścia – albo szybko zmienić podane hasło, albo zapłacić 10 dolarów w kryptowalucie za… obietnicę usunięcia go z bazy. Biorąc pod uwagę, że w tym drugim przypadku trzeba by wierzyć w uczciwość przestępcy, nietrudno się domyślić, która opcja ma jakikolwiek sens.