«Have I Been Pwned»: الفرق بين المراجعتين

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث
[مراجعة منقحة][مراجعة منقحة]
ط (خدمة الإشعارات Notify me)
ط (خدمة البحث عن النطاق Domain search)
(مراجعة متوسطة واحدة بواسطة نفس المستخدم غير معروضة)
سطر 55: سطر 55:
  
 
سيعرض الموقع أربعة خيارات للتحقق من ملكيتكم للنطاق أو إدارتكم له, وهي:
 
سيعرض الموقع أربعة خيارات للتحقق من ملكيتكم للنطاق أو إدارتكم له, وهي:
*عن طريق البريد الإلكتروني Email
+
*; عن طريق البريد الإلكتروني Email
عند إنشاء الإيميل انقر على Send verification email لإتمام عملية التحقق. ستتلقى رسالة بالتعليمات لإتمام العملية.  
+
: عند إنشاء الإيميل انقر على Send verification email لإتمام عملية التحقق. ستتلقى رسالة بالتعليمات لإتمام العملية.  
من خلال إنشاء بريد إلكتروني جديد من أربعة عناوين يعرضها عليك. ستقوم أنت بإنشاء هذا البريد واستقبال رسالة عليه وبذلك يتحقق الموقع من ملكيتك للنطاق كما في الصورة أدناه.  
+
: من خلال إنشاء بريد إلكتروني جديد من أربعة عناوين يعرضها عليك. ستقوم أنت بإنشاء هذا البريد واستقبال رسالة عليه وبذلك يتحقق الموقع من ملكيتك للنطاق كما في الصورة أدناه.  
  
*عن طريق البيانات الوصفية Meta Data
+
*; عن طريق البيانات الوصفية Meta Data
سيعرض لك الموقع كودا كما في الصورة أدناه ويطلب منك وضعه في رأس الصفحة عند جذر النطاق على موقعك المرتبط بالدومين. وبذلك يتحقق من ملكيتك له.  
+
: سيعرض لك الموقع كودا كما في الصورة أدناه ويطلب منك وضعه في رأس الصفحة عند جذر النطاق على موقعك المرتبط بالدومين. وبذلك يتحقق من ملكيتك له.  
عند إتمام وضع الكود في المكان المطلوب قم بالنقر على Verify meta tag لإتمام عملية التحقق.
+
: عند إتمام وضع الكود في المكان المطلوب قم بالنقر على Verify meta tag لإتمام عملية التحقق.
  
*عن طريق رفع ملف:
+
*; عن طريق رفع ملف:
كما في الصورة أدناه, عليك إنشاء ملف نصي باسم have-i-been-pwned.text ووضع النص الموجود في صندوق النص التالي داخل الملف ثم تحميل الملف إلى الموقع في جذر النطاق. يجب أن يكون الملف متاحا للعموم من خلال الرابط:  
+
: كما في الصورة أدناه, عليك إنشاء ملف نصي باسم have-i-been-pwned.text ووضع النص الموجود في صندوق النص التالي داخل الملف ثم تحميل الملف إلى الموقع في جذر النطاق. يجب أن يكون الملف متاحا للعموم من خلال الرابط:  
 
http://اسم النطاق/have-i-been-pwned-verification.txt  
 
http://اسم النطاق/have-i-been-pwned-verification.txt  
  
عند إتمام الخطوات أعلاه, قم بالنقر على Verify file upload لإتمام عملية التحقق.  
+
*; عند إتمام الخطوات أعلاه, قم بالنقر على Verify file upload لإتمام عملية التحقق.  
  
*من خلال إنشاء سجل TXT على النطاق:
+
*; من خلال إنشاء سجل TXT على النطاق:
يمكن ذلك شريطة إلا يكون النطاق نطاقاً ثانوياً. وعليك تضمين النص الظاهر في الصندوق داخل السجل.
+
: يمكن ذلك شريطة إلا يكون النطاق نطاقاً ثانوياً. وعليك تضمين النص الظاهر في الصندوق داخل السجل.
 
+
: بعد إتمام عملية التحقق من النطاق, سيقوم الموقع بإرسال المعلومات عن أية إميلات شُملت في تسريبات متوفرة على الموقع.
بعد إتمام عملية التحقق من النطاق, سيقوم الموقع بإرسال المعلومات عن أية إميلات شُملت في تسريبات متوفرة على الموقع.  
 
  
 
===كلمات السرّ Passwords===
 
===كلمات السرّ Passwords===
سطر 80: سطر 79:
  
 
قمنا بتجربة كلمة السر (123456789)  وهي من الكلمات الشائعة جدا ووجدنا أنها ظهرت أكثر من 7.5 مليون مرة في تسريبات سابقة.
 
قمنا بتجربة كلمة السر (123456789)  وهي من الكلمات الشائعة جدا ووجدنا أنها ظهرت أكثر من 7.5 مليون مرة في تسريبات سابقة.
 +
 +
[[ملف:Haveibeenpwned_passwords_2.png|600px]]
  
 
===من تم امتلاكه Who have been pwned؟===
 
===من تم امتلاكه Who have been pwned؟===

مراجعة 10:59، 12 يوليو 2019

مقدمة

Have I Been Pwned خدمة أسسها السيد توري هنت Troy Hunt للتبع أخبار تسريبات بيانات تسجيل الدخول واقتناء ما توفر منها، وإتاحتها بشكل مسؤول للجميع على موقع الخدمة https://haveibeenpwned.com بحيث يمكن للجميع التحقق من وجود اسم المستخدم ضمن إحدى التسريبات التي توفرت للخدمة. كما يقدم الموقع خدمات أخرى مثل تنبيه المستخدمين المسجلين عند احتواء أي تسريب جديد على معلومات تسجيل دخولهم. وأيضا تسجيل أي معلومات متوفرة عن حدوث عمليات اختراق حدث فيها تسرب لبيانات تسجيل الدخول، حتى لو لم تتوفر محتويات التسريبات بشكلها الصريح.

توضح صورة الشاشة التالية الصفحة الأساسية في موقع have i been pwned، حيث يظهر في أسف الصورة المأخوذة في 11 شباط/يناير 2019 وجود معلومات عن تسرب بيانات تسجيل دخول أكثر من 6.5 مليار حساب مختلف، تتضمن حسابات على 341 موقع مختلف. والأرقام بارتفاع مستمر.

Haveibeenpwned home.png

يظهر في منتصف الصفحة خانة لوضع عنوان بريد الكتروني، عند وضع عنوان بريدي ما ضمن الخانة والضغط على زر pwned تقوم الخدمة بالبحث عن عنوان البريد الالكتروني الذي تم إدخاله ضمن قاعدة بيانات الخدمة المكونة من جميع التسريبات التي توفر محتواها للخدمة، فإن لم يجد الموقع عنوان البريد الالكتروني الذي تم إدخاله فإن ذلك يعني أن لا معلومات متوفرة حول عنوان البريد الالكتروني المذكور، أي لا نتيجة قطعيّة عن تسرب بيانات تسجيل دخول مرتبطة بعنوان البريد الالكتروني ذلك. فقوائم التسريبات المتوفرة للموقع هي بالضرورة جزء من جميع قوائم التسريبات الموجودة، فهي بالضرورة جزء من كل. فليس من المعتاد أن يقوم المخترقون بتوفير هذه القوائم، وإنما يحتفظون بها لاستخدامها لاحقا. ولا يستطيع القائمون على الخدمة معاينة واستخدام إلّا ما تسرّب منها من المهاجمين أو ما قام المهاجمون ببيعه مقابل مبلغ مالي لجهات قامت بتوفيرها للموقع.

بالمقابل إن وجد الموقع عنوان البريد اللالكتروني ضمن قاعدة البيانات، فذلك يعني حتميا تسرب بيانات تسجيل الدخول ضمن إحدى حوادث تسريبات المعلومات. تقوم الخدمة عند ذلك بإظهار لائحة بالتسريبات التي تضمنت عنوان البريد الالكتروني المذكور. وبعض المعلومات عن تلك التسريبات مثل تاريخ حدوثها والآثار التي ترتبت عن ذلك التسريب. وأيضا نصائح موجه للمستخدم لحماية الحساب (أو الحسابات) التي عرف عنها تسرب بيانات تسجيل الدخول الخاصة بها.

مشكلة تسرب بيانات تسجيل الدخول إلى أحد الحسابات على خدمة معينة قد لا تقف عند تلك الخدمة وإنما قد تتجاوزها لجميع الحسابات على الخدمات الأخرى التي تستخدم بيانات تسجيل الدخول ذاتها (اسم المستخدم أو عنوان البريد الالكتروني وكلمة السرّ).

خدمات Have I Been Pwned

خدمة التحقق ما إذا كان عنوان بريد الإلكتروني موجود في أحد التسريبات

عند الدخول إلى الموقع، ستظهر النافذة الموضحة في الصورة أدناه. قوموا بإدخال عنوان البريد الإلكتروني الخاص بكم. سيخبركم الموقع على الفور عن التسريبات التي ظهر عنوان بريدكم الالكتروني ضمنها. كرروا العملية لجميع العناوين الخاصة بكم للتحقق من ورودها في التسريبات، ولتحديد ماهية خطورة ذلك.

في الصورة أدناه نلاحظ أن العنوان الذي تمّ إدخاله لا يظهر في أي من التسريبات التي تشملها قاعدة البيانات. وهو ما يرجو المستخدم أن يراه.

Haveibeenpwned check email.png

لكن وبسبب الاختراقات الكثيرة لخدمات ومواقع على الإنترنت، قد يظهر عنوان بريدكم الالكتروني ضمن اللائحة، لكونه مرتبطا بحساب ما لكم ما على خدمة اخترقت وتسرب منها معلومات تسجيل الدخول إلى حسابات على تلك الخدمة بينها حسابكم. وهو ما نراه مثلا في الصورة التالية، حيث نرى بأن حساب البريد الالكتروني الذي تم اختباره قد ظهر في ستة من التسريبات كما عثر عليه في حاوية للبيانات قد تم نشرها على الإنترنت سابقا. ما يعني أن معلومات تسجيل الدخول على المواقع المذكور إلى الحسابات المرتطبة بعنوان البريد الالكتروني الذي قمتم بإدخاله، قد تسرّبت. بالنزول قليلا إلى أسفل الصفحة نستطيع أن نرى ما هي تماما هذه التسريبات والحاوية التي تم العثور على الإيميل فيها ,حادثة تسريب البيانات المتصلة بها كما في الصورة التالية.

Haveibeenpwned email check pwned.png

يمكنكم هنا الاطلاع على هذه الحوادث، وتحديد أثر التسريب على أمن بقية الحسابات المرتبطة بعنوان البريد الالكتروني الذي أدخلتموء ففي حال وجود تسريب لكلمات السرّ للحسابات المتصلة، على المستخدم المسارعة إلى تغيير كلمة السر, وربما الإيميل المرتبط بالحساب أيضا. إن كننم تستخدمون كلمة السرّ المسربة ذاتها لعدّة حسابات على الإنترنت، عليكم تغيير كلمات السرّ لتكون فريدة لكل حساب.

في المثال أعلاه نجد بأن هناك تسريب متعلق ببيانات لمستخدمي منصة التواصل المهني لينكد إن Linkedin تم تسريبها عام 2016 لكن حادثة اختراق الموقع التي نجم عنها الاستيلاء على هذه البيانات تعود لعام 2012 أي قبل أربعة سنوات مما يعني بأن حسابات هؤلاء المستخدمين بقيت مكشوفة للمخترقين لأربع سنوات. لهذا السبب ينصح دوما بتغيير كلمة السر كل شهر إلى ثلاثة أشهر وتفعيل التحقق بخطوتين مما يجعل المستخدم أقل عرضة لهذه الأخطار التي تمتد لفترات طويلة من الزمن.

Haveibeenpwned breaches.png

خدمة الإشعارات Notify me

هذه الخدمة تمكنكم من التسجيل لدى الموقع لتلقي إشعارات فورية في حال ورود بريدكم الإلكتروني في أي تسريب جديد للبيانات يضيفه الموقع إلى قاعدة بياناته، وهي تمكن المستخدم من التصرف على الفور، والتأكد من طبيعة البيانات التي تم تسريبها واتخاذ الإجراء المناسب. كل ما عليكم فعله هو إدخال عنوان البريد الإلكتروني المراد مراقبة وجوده في تسريبات قادمة، ستحتاجون لإتمام الكابتشا قبل النقر على Notify me with pwnage. كما في الصورة أدناه.

Haveibeenpwned notifyme.png

لتظهر الشاشة التالية:

Haveibeenpwned notifyme setup.png

ننصح الجميع باستخدام هذه الخدمة لمعرفة إن كانت معلومات تسجيل الدخول لأحد الحسابات قد تسربت وأن التسرب قد أصبح علنيا.

خدمة البحث عن النطاق Domain search

تمكن هذه الخدمة من العثور على جميع الإيميلات المرتبطة بنطاق معين (مثل salamatech.org) الموجودة في قاعدة بيانات الموقع في تسريبات سابقة. تفيد هذه الخدمة المؤسسات بحيث يتم تحديد الأشخاص الذين كانوا ضحايا لهذه التسريبات وأعلامهم واتخاذ الإجراءات اللازمة لحماية الشركة وأنظمتها المعلوماتية.

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

قومول بإدخال المعلومات المطلوبة وهي اسم النطاق Domain name وعنوان بريد إلكتروني ليتم إرسال الإشعارات المستقبلية إليه، وإتمام الكابتشا ثم انقر على البدء بالتحقق Begin verification وهي العملية التي ستمكن الخدمة من التحقق من أنكم تمتلكون هذا النطاق أو مسؤولون عنه ولديكم حق الاطلاع على المعلومات خاصة بالنظاق.

سيعرض الموقع أربعة خيارات للتحقق من ملكيتكم للنطاق أو إدارتكم له, وهي:

  • عن طريق البريد الإلكتروني Email
عند إنشاء الإيميل انقر على Send verification email لإتمام عملية التحقق. ستتلقى رسالة بالتعليمات لإتمام العملية.
من خلال إنشاء بريد إلكتروني جديد من أربعة عناوين يعرضها عليك. ستقوم أنت بإنشاء هذا البريد واستقبال رسالة عليه وبذلك يتحقق الموقع من ملكيتك للنطاق كما في الصورة أدناه.
  • عن طريق البيانات الوصفية Meta Data
سيعرض لك الموقع كودا كما في الصورة أدناه ويطلب منك وضعه في رأس الصفحة عند جذر النطاق على موقعك المرتبط بالدومين. وبذلك يتحقق من ملكيتك له.
عند إتمام وضع الكود في المكان المطلوب قم بالنقر على Verify meta tag لإتمام عملية التحقق.
  • عن طريق رفع ملف
كما في الصورة أدناه, عليك إنشاء ملف نصي باسم have-i-been-pwned.text ووضع النص الموجود في صندوق النص التالي داخل الملف ثم تحميل الملف إلى الموقع في جذر النطاق. يجب أن يكون الملف متاحا للعموم من خلال الرابط:

http://اسم النطاق/have-i-been-pwned-verification.txt

  • عند إتمام الخطوات أعلاه, قم بالنقر على Verify file upload لإتمام عملية التحقق.
  • من خلال إنشاء سجل TXT على النطاق
يمكن ذلك شريطة إلا يكون النطاق نطاقاً ثانوياً. وعليك تضمين النص الظاهر في الصندوق داخل السجل.
بعد إتمام عملية التحقق من النطاق, سيقوم الموقع بإرسال المعلومات عن أية إميلات شُملت في تسريبات متوفرة على الموقع.

كلمات السرّ Passwords

يمكن من خلال الموقع التحقق فيما لو أن كلمة سر معينة قد ظهرت في تسريبات سابقة, وهذا لا يعني بالضرورة بأن حسابك قد تأثر, لكنه مؤشر على توفر هذه الكلمة في هذه التسريبات ومدى انشارها وبالتالي سهولة تخمينها من قبل المخترقين. لكن السؤال هل يمكن لنا أن ندخل كلمة السر الخاصة بنا في أي مكان غير المكان المخصص لها على الحساب المرتبطة به؟ لا ننصح بذلك.

Haveibeenpwned passwords 1.png

قمنا بتجربة كلمة السر (123456789) وهي من الكلمات الشائعة جدا ووجدنا أنها ظهرت أكثر من 7.5 مليون مرة في تسريبات سابقة.

Haveibeenpwned passwords 2.png

من تم امتلاكه Who have been pwned؟

يسرد الموقع عدد كبير من حوادث التسريب التي تتضمنها قاعدة البيانات, نذكر فيما بعض الأمثلة الهامة عليها

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

تاريخ الاختراق: 9 تموز 2018 ظهور البيانات على HBP: آذار 2019 عدد الحسابات المتضررة: 40,960,499 البيانات المتضررة: الاسم, تاريخ الميلاد, البريد الإلكتروني, كلمة السر

في شهر تموز من عام 2018 تعرضت خدمة المشاركة (Sharethis) لاختراقاً للبيانات نجم عن الكشف عن البريد الإلكتروني والأسماء وفي بعض الحالات تاريخ الميلاد وهاش كلمة السر لأكثر من 41 مليون مستخدم. في آذار عام 2019 ظهرت البيانات في أحد أسوق الإنترنت المظلم معروضة للبيع مترافقة مع بيانات من اختراقات أخرى وبدأت بالانتشار بشكل أوسع.


تاريخ الاختراق: 8 أيار 2014 عدد الحسابات المتضررة: 9, 313, 136 البيانات المسربة: البريد الإلكتروني, كلمة السر واسم المستخدم

في شهر أيار من عام 2014 تم اختراق بيانات شركة إدارة الروابط بيتلي وقد تضمن الاختراق بيانات لأكثر من تسعة ملايين مستخدم شملت على البريد الإلكتروني, كلمة السر, كلمات سر هاش.


تاريخ التسريب: 4 تشرين الأول 2013 عدد الحسابات المتضررة: 152,445,165 البيانات المسربة: كلمات السر, اسم المستخدم, تلميح كلمة السر ورمز تعريف الإنترنت

في شهر تشرين الأول عام 2013 تم تسريب بيانات 153 مليون حساب أدوبي. تضمنت البيانات المسربة اسم المستخدم, البريد الإلكتروني, كلمات السر المشفرة, وتلميح كلمة السر بنص عادي. كان تشفير كلمات السر قد صمم بشكل رديء وتم فك تشفير كلمات السر بسهولة, كما تضمنت تلميحات كلمات السر الكثير من المعلومات التي أدت إلى كشفها بسهولة.

تاريخ الاختراق: 1 تموز 2012 عدد الحسابات المتضررة: 68,648,009 البيانات المتضررة: البريد الإلكتروني وكلمات السر

تعرضت خدمة التخزين السحابي دروب بوكس عام 2012 إلى اختراق أدلى إلى الكشف عن بيانات حسابات عشرات ملايين المستخدمين. وفي عام 2016 قامت الشركة بإجبار المستخدمين على إعادة تعيين كلمات السر لحساباتهم التي يظن أنها في خطر. وقد تم تدول بيانات لأكثر من 68 مليون حساب على الإنترنت في حينها وشملت البريد الإلكتروني, وبعض البيانات الخاصة بكلمات السر.

تنقّل في الكتيب eBook Navigation

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

مراجع References