Have I Been Pwned?

Have I Been Pwned? (disingkat HIBP, kata "Pwned" diucapkan "poned,"^[2]) adalah situs web yang memungkinkan pengguna internet untuk memeriksa apakah data pribadi mereka telah dikompromikan oleh kebocoran data. Layanan ini mengoleksi dan menganalisis ratusan timbunan pangkalan data dan paste yang berisi informasi tentang miliaran akun yang bocor, dan memungkinkan pengguna untuk mencari data mereka dengan memasukkan nama pengguna atau alamat surel. Para pengguna bisa juga mendaftar untuk mendapatkan pemberitahuan jika alamat surel mereka muncul dalam timbunan masa mendatang. Situs web ini telah banyak disebut-sebut sebagai sumber yang amat penting untuk pengguna internet yang ingin melindungi keamanan dan privasi mereka.^[3][4] Have I Been Pwned? dibuat oleh ahli keamanan Troy Hunt pada tanggal 4 Desember 2013.

Have I Been Pwned?
URL	haveibeenpwned.com
Tipe	Kemanan internet
Perdagangan ?	Ya
Registration	Opsional
Langue	Inggris
Pengguna	2 juta pelanggan surel terverifikasi[1]
Bahasa pemrograman	.NET Framework
Pemilik	Troy Hunt
Pembuat	Troy Hunt
Web Developer	Troy Hunt
Service entry	4 Desember 2013; 10 tahun lalu (2013-12-04)
Negara	Australia
Peringkat Alexa	15.250 (per Juni 2020)
Keadaan	Daring

Pada bulan Juni 2019, Have I Been Pwned? mempunyai rata-rata pengunjung harian sekitar 160 ribu, situs web ini memiliki hampir tiga juta pelanggan surel aktif dan berisi data bocor sebesar delapan miliar akun.^[5]

Fitur

Fungsi utama Have I Been Pwned? sejak diluncurkan adalah untuk menyediakan masyarakat umum sarana pemeriksaan bila informasi pribadi mereka telah bocor atau dikompromikan. Pengunjung yang menuju situs web dapat memasukkan alamat surel, dan melihat daftar semua kebocoran data yang telah diketahui dengan data bocor yang terikat dengan alamat surel tersebut. Situs web ini juga menyediakan rincian setiap kebocoran data, seperti latar belakang kebocoran dan jenis data apa saja yang termasuk di dalamnya.

Have I Been Pwned? juga menawarkan layanan "Notify me" yang memungkinan pengunjung untuk berlangganan pemberitahuan tentang kebocoran di masa mendatang. Setelah seseorang mendaftar layanan pemberitahuan surel ini, mereka akan menerima pesan surel kapan saja jika informasi pribadi mereka ditemukan dalam kebocoran data baru.

Pada bulan September 2014, Hunt menambahkan fungsionalitas yang membuat kebocoran data baru ditambahkan secara otomatis ke pangkalan data HIBP. Fitur baru ini menggunakan Dump Monitor, sebuah bot Twitter yang mendeteksi dan menyiarkan kemungkinan ditemukannya timbunan kata sandi di pastebin yang secara otomatis menambahkan potensi kebocoran baru dalam waktu nyata. Kebocoran data sering muncul di pastebin sebelum kebocoran data tersebut dilaporkan; dengan demikian, memantau di sumber seperti pastebin memungkinkan konsumen untuk diberi tahu lebih cepat jika mereka telah dikompromikan.^[6]

Seiring dengan menampilkan rincian kebocoran data dengan akun surel yang terkait, situs web ini juga mengarahkan siapa saja yang muncul di hasil pencarian untuk menginstal manajer kata sandi 1Password yang baru-baru ini di-endors Troy Hunt.^[7] Sebuah penjelasan di postingan blog Troy Hunt,^[8] ia menguraikan motifnya dan menyatakan bahwa keuntungan moneter bukanlah tujuan kemitraan ini.

Kata sandi Pwned

Pada bulan Agustus 2017, Hunt memublikasikan 306 juta kata sandi yang bisa diakses melalui fitur pencarian di HIBP atau dapat diunduh secara massal.^[9]

Pada bulan Februari 2018, ilmuwan komputer Britania Junade Ali membuat protokol komunikasi (menggunakan k-anonymity dan hash kriptografi) untuk melakukan verifikasi secara anonim jika kata sandi telah bocor tanpa sepenuhnya mengungkapkan kata sandi yang dicari ke layanan API Pwned.^[10][11] Protokol ini diimplementasikan sebagai API publik pada layanan Hunt dan kini dipakai oleh banyak situs web dan berbagai layanan termasuk manajer kata sandi^[12][13] dan ekstensi peramban.^[14][15] Tren ini membuat Google membuat versinya sendiri yaitu fitur Password Checkup.^[16][17][18] Ali bekerja dengan para akademisi di Universitas Cornell untuk menganalisis protokol yang mengidentifikasi keterbatasan dan mengembangkan dua versi baru dari protokol ini. Dua protokol tersebut dikenal sebagai Frequency Size Bucketization dan Identifier Based Bucketization.^[19] Pada bulan Maret 2020, padding kiptografi ditambahkan ke protokol ini.^[20]

Permerekan

Nama "Have I Been Pwned?" merupakan nama yang berdasarkan pada istilah jargon "pwn" oleh script kiddie yang berarti "untuk berkompromi atau mengambil alih kendali, khususnya pada komputer atau aplikasi lain."

Logo HIBP memiliki teks ';--. Teks tersebut merupakan string yang umum digunakan dalam serangan injeksi SQL. Seorang peretas mencoba mengambil kendali situs web mungkin menggunakan string serangan ini untuk memanipulasi situs web agar menjalankan kode hasad. Serangan injeksi merupakan salah satu serangan yang paling umum digunakan di mana kebocoran pangkalan data dapat terjadi; penginjeksian merupakan kerentanan aplikasi web peringkat pertama pada 10 daftar teratas OWASP.^[21]

Lihat pula

• Keamanan pangkalan data

Referensi

1. "We're Baking Have I Been Pwned into Firefox and 1Password". troyhunt.com. 25 Juni 2018. Diarsipkan dari versi asli tanggal 2021-10-10. Diakses tanggal 2020-06-13. 
2. "Merriam-Webster: What Does 'Pwn' Mean? And how do you say it?". Diarsipkan dari versi asli tanggal 2022-10-24. Diakses tanggal 2020-06-13. 
3. Seltzer, Larry (5 Desember 2013). "How to find out if your password has been stolen". ZDNet. Diarsipkan dari versi asli tanggal 2016-03-14. Diakses tanggal 18 Maret 2016. 
4. Price, Rob (20 Agustus 2015). "HaveIBeenPwned.com lets you see if you're in the Ashley Madison hack leak". Business Insider. Diarsipkan dari versi asli tanggal 2016-03-26. Diakses tanggal 18 Maret 2016. 
5. "Project Svalbard: The Future of Have I Been Pwned". Troy Hunt (dalam bahasa Inggris). 11 Juni 2019. Diarsipkan dari versi asli tanggal 2022-11-15. Diakses tanggal 11 Juni 2019. 
6. O'Neill, Patrick Howell (16 September 2014). "How to find out if you've been hacked in under a minute". The Daily Dot. Diarsipkan dari versi asli tanggal 2016-06-10. Diakses tanggal 20 Mei 2016. 
7. "Finding Pwned Passwords with 1Password - AgileBits Blog". agilebits.com. 22 Februari 2018. Diarsipkan dari versi asli tanggal 2018-11-22. Diakses tanggal 2020-06-13. 
8. "Have I Been Pwned is Now Partnering With 1Password". troyhunt.com. 29 Maret 2018. Diarsipkan dari versi asli tanggal 2022-11-15. Diakses tanggal 2020-06-13. 
9. "Need a new password? Don't choose one of these 306 million". Engadget (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2020-02-15. Diakses tanggal 29 Mei 2018. 
10. "Find out if your password has been pwned—without sending it to a server". Ars Technica (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2022-11-15. Diakses tanggal 24 Mei 2018. 
11. "1Password bolts on a 'pwned password' check – TechCrunch". techcrunch.com (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2022-11-15. Diakses tanggal 24 Mei 2018. 
12. "1Password Integrates With 'Pwned Passwords' to Check if Your Passwords Have Been Leaked Online" (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2022-11-15. Diakses tanggal 24 Mei 2018. 
13. Conger, Kate. "1Password Helps You Find Out if Your Password Is Pwned". Gizmodo (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2022-11-17. Diakses tanggal 24 Mei 2018. 
14. Condon, Stephanie. "Okta offers free multi-factor authentication with new product, One App | ZDNet". ZDNet (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2022-11-15. Diakses tanggal 24 Mei 2018. 
15. Coren, Michael J. "The world's biggest database of hacked passwords is now a Chrome extension that checks yours automatically". Quartz (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2022-11-15. Diakses tanggal 24 Mei 2018. 
16. Wagenseil I, Paul. "Google's New Chrome Extension Finds Your Hacked Passwords". www.laptopmag.com. Diarsipkan dari versi asli tanggal 2022-11-15. Diakses tanggal 2020-06-13. 
17. "Google Launches Password Checkup Extension to Alert Users of Data Breaches". BleepingComputer (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2022-11-15. Diakses tanggal 2020-06-13. 
18. Dsouza, Melisha (6 Februari 2019). "Google's new Chrome extension 'Password CheckUp' checks if your username or password has been exposed to a third party breach". Packt Hub. Diarsipkan dari versi asli tanggal 2022-11-15. Diakses tanggal 2020-06-13. 
19. Li, Lucy; Pal, Bijeeta; Ali, Junade; Sullivan, Nick; Chatterjee, Rahul; Ristenpart, Thomas (6 November 2019). "Protocols for Checking Compromised Credentials". Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security. New York, NY, USA: ACM: 1387–1403. arXiv:1905.13737  . Bibcode:2019arXiv190513737L. doi:10.1145/3319535.3354229. ISBN 978-1-4503-6747-9. 
20. Ali, Junade (4 Maret 2020). "Pwned Passwords Padding (ft. Lava Lamps and Workers)". The Cloudflare Blog (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2022-11-15. Diakses tanggal 12 Mei 2020. 
21. "Top 10 2013-Top 10". OWASP. Diarsipkan dari versi asli tanggal 2013-10-09. Diakses tanggal 20 Mei 2016. 

Pranala luar

 

Wikimedia Commons memiliki media mengenai Have I Been Pwned?.

• (Inggris) Situs web resmi
• (Inggris) Repositori Have I Been Pwned? di GitHub
• (Inggris) Have I Been Pwned? announcement blog post Diarsipkan 2016-04-02 di Wayback Machine. di troyhunt.com