«Have I Been Pwned»: الفرق بين المراجعتين

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث
[مراجعة منقحة][مراجعة منقحة]
ط
ط
سطر 63: سطر 63:
  
 
*; عن طريق البيانات الوصفية Meta Data
 
*; عن طريق البيانات الوصفية Meta Data
: سيعرض لك الموقع كودا كما في الصورة أدناه ويطلب منك وضعه في رأس الصفحة عند جذر النطاق على موقعك المرتبط بالدومين. وبذلك يتحقق من ملكيتك له.  
+
: سيعرض لكم الموقع رمزا كما في الصورة أدناه ويطلب منكم وضعه في ترويسة الصفحة Page header عند جذر النطاق على موقعكم على النطاق. وبذلك تتحقق الخدمة من ملكيتك م للنطاق.  
: عند إتمام وضع الكود في المكان المطلوب قم بالنقر على Verify meta tag لإتمام عملية التحقق.
+
: عند إتمام وضع الرمز في المكان المطلوب قوموا بالنقر على Verify meta tag لإتمام عملية التحقق.
 +
 
 +
[[Haveibeenpwned_domainsearch_metadata.png|600px]]
  
 
*; عن طريق رفع ملف:
 
*; عن طريق رفع ملف:

مراجعة 11:47، 12 يوليو 2019

مقدمة

Have I Been Pwned خدمة أسسها السيد توري هنت Troy Hunt للتبع أخبار تسريبات بيانات تسجيل الدخول واقتناء ما توفر منها، وإتاحتها بشكل مسؤول للجميع على موقع الخدمة https://haveibeenpwned.com بحيث يمكن للجميع التحقق من وجود اسم المستخدم ضمن إحدى التسريبات التي توفرت للخدمة. كما يقدم الموقع خدمات أخرى مثل تنبيه المستخدمين المسجلين عند احتواء أي تسريب جديد على معلومات تسجيل دخولهم. وأيضا تسجيل أي معلومات متوفرة عن حدوث عمليات اختراق حدث فيها تسرب لبيانات تسجيل الدخول، حتى لو لم تتوفر محتويات التسريبات بشكلها الصريح.

توضح صورة الشاشة التالية الصفحة الأساسية في موقع have i been pwned، حيث يظهر في أسف الصورة المأخوذة في 11 شباط/يناير 2019 وجود معلومات عن تسرب بيانات تسجيل دخول أكثر من 6.5 مليار حساب مختلف، تتضمن حسابات على 341 موقع مختلف. والأرقام بارتفاع مستمر.

Haveibeenpwned home.png

يظهر في منتصف الصفحة خانة لوضع عنوان بريد الكتروني، عند وضع عنوان بريدي ما ضمن الخانة والضغط على زر pwned تقوم الخدمة بالبحث عن عنوان البريد الالكتروني الذي تم إدخاله ضمن قاعدة بيانات الخدمة المكونة من جميع التسريبات التي توفر محتواها للخدمة، فإن لم يجد الموقع عنوان البريد الالكتروني الذي تم إدخاله فإن ذلك يعني أن لا معلومات متوفرة حول عنوان البريد الالكتروني المذكور، أي لا نتيجة قطعيّة عن تسرب بيانات تسجيل دخول مرتبطة بعنوان البريد الالكتروني ذلك. فقوائم التسريبات المتوفرة للموقع هي بالضرورة جزء من جميع قوائم التسريبات الموجودة، فهي بالضرورة جزء من كل. فليس من المعتاد أن يقوم المخترقون بتوفير هذه القوائم، وإنما يحتفظون بها لاستخدامها لاحقا. ولا يستطيع القائمون على الخدمة معاينة واستخدام إلّا ما تسرّب منها من المهاجمين أو ما قام المهاجمون ببيعه مقابل مبلغ مالي لجهات قامت بتوفيرها للموقع.

بالمقابل إن وجد الموقع عنوان البريد اللالكتروني ضمن قاعدة البيانات، فذلك يعني حتميا تسرب بيانات تسجيل الدخول ضمن إحدى حوادث تسريبات المعلومات. تقوم الخدمة عند ذلك بإظهار لائحة بالتسريبات التي تضمنت عنوان البريد الالكتروني المذكور. وبعض المعلومات عن تلك التسريبات مثل تاريخ حدوثها والآثار التي ترتبت عن ذلك التسريب. وأيضا نصائح موجه للمستخدم لحماية الحساب (أو الحسابات) التي عرف عنها تسرب بيانات تسجيل الدخول الخاصة بها.

مشكلة تسرب بيانات تسجيل الدخول إلى أحد الحسابات على خدمة معينة قد لا تقف عند تلك الخدمة وإنما قد تتجاوزها لجميع الحسابات على الخدمات الأخرى التي تستخدم بيانات تسجيل الدخول ذاتها (اسم المستخدم أو عنوان البريد الالكتروني وكلمة السرّ).

خدمات Have I Been Pwned

خدمة التحقق ما إذا كان عنوان بريد الإلكتروني موجود في أحد التسريبات

عند الدخول إلى الموقع، ستظهر النافذة الموضحة في الصورة أدناه. قوموا بإدخال عنوان البريد الإلكتروني الخاص بكم. سيخبركم الموقع على الفور عن التسريبات التي ظهر عنوان بريدكم الالكتروني ضمنها. كرروا العملية لجميع العناوين الخاصة بكم للتحقق من ورودها في التسريبات، ولتحديد ماهية خطورة ذلك.

في الصورة أدناه نلاحظ أن العنوان الذي تمّ إدخاله لا يظهر في أي من التسريبات التي تشملها قاعدة البيانات. وهو ما يرجو المستخدم أن يراه.

Haveibeenpwned check email.png

لكن وبسبب الاختراقات الكثيرة لخدمات ومواقع على الإنترنت، قد يظهر عنوان بريدكم الالكتروني ضمن اللائحة، لكونه مرتبطا بحساب ما لكم ما على خدمة اخترقت وتسرب منها معلومات تسجيل الدخول إلى حسابات على تلك الخدمة بينها حسابكم. وهو ما نراه مثلا في الصورة التالية، حيث نرى بأن حساب البريد الالكتروني الذي تم اختباره قد ظهر في ستة من التسريبات كما عثر عليه في حاوية للبيانات قد تم نشرها على الإنترنت سابقا. ما يعني أن معلومات تسجيل الدخول على المواقع المذكور إلى الحسابات المرتطبة بعنوان البريد الالكتروني الذي قمتم بإدخاله، قد تسرّبت. بالنزول قليلا إلى أسفل الصفحة نستطيع أن نرى ما هي تماما هذه التسريبات والحاوية التي تم العثور على الإيميل فيها ,حادثة تسريب البيانات المتصلة بها كما في الصورة التالية.

Haveibeenpwned email check pwned.png

يمكنكم هنا الاطلاع على هذه الحوادث، وتحديد أثر التسريب على أمن بقية الحسابات المرتبطة بعنوان البريد الالكتروني الذي أدخلتموء ففي حال وجود تسريب لكلمات السرّ للحسابات المتصلة، على المستخدم المسارعة إلى تغيير كلمة السر, وربما الإيميل المرتبط بالحساب أيضا. إن كننم تستخدمون كلمة السرّ المسربة ذاتها لعدّة حسابات على الإنترنت، عليكم تغيير كلمات السرّ لتكون فريدة لكل حساب.

في المثال أعلاه نجد بأن هناك تسريب متعلق ببيانات لمستخدمي منصة التواصل المهني لينكد إن Linkedin تم تسريبها عام 2016 لكن حادثة اختراق الموقع التي نجم عنها الاستيلاء على هذه البيانات تعود لعام 2012 أي قبل أربعة سنوات مما يعني بأن حسابات هؤلاء المستخدمين بقيت مكشوفة للمخترقين لأربع سنوات. لهذا السبب ينصح دوما بتغيير كلمة السر كل شهر إلى ثلاثة أشهر وتفعيل التحقق بخطوتين مما يجعل المستخدم أقل عرضة لهذه الأخطار التي تمتد لفترات طويلة من الزمن.

Haveibeenpwned breaches.png

خدمة الإشعارات Notify me

هذه الخدمة تمكنكم من التسجيل لدى الموقع لتلقي إشعارات فورية في حال ورود بريدكم الإلكتروني في أي تسريب جديد للبيانات يضيفه الموقع إلى قاعدة بياناته، وهي تمكن المستخدم من التصرف على الفور، والتأكد من طبيعة البيانات التي تم تسريبها واتخاذ الإجراء المناسب. كل ما عليكم فعله هو إدخال عنوان البريد الإلكتروني المراد مراقبة وجوده في تسريبات قادمة، ستحتاجون لإتمام الكابتشا قبل النقر على Notify me with pwnage. كما في الصورة أدناه.

Haveibeenpwned notifyme.png

لتظهر الشاشة التالية:

Haveibeenpwned notifyme setup.png

ننصح الجميع باستخدام هذه الخدمة لمعرفة إن كانت معلومات تسجيل الدخول لأحد الحسابات قد تسربت وأن التسرب قد أصبح علنيا.

خدمة البحث عن النطاق Domain search

تمكن هذه الخدمة من العثور على جميع الإيميلات المرتبطة بنطاق معين (مثل salamatech.org) الموجودة في قاعدة بيانات الموقع في تسريبات سابقة. تفيد هذه الخدمة المؤسسات بحيث يتم تحديد الأشخاص الذين كانوا ضحايا لهذه التسريبات وأعلامهم واتخاذ الإجراءات اللازمة لحماية الشركة وأنظمتها المعلوماتية.

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

قومول بإدخال المعلومات المطلوبة وهي اسم النطاق Domain name وعنوان بريد إلكتروني ليتم إرسال الإشعارات المستقبلية إليه، وإتمام الكابتشا ثم انقر على البدء بالتحقق Begin verification وهي العملية التي ستمكن الخدمة من التحقق من أنكم تمتلكون هذا النطاق أو مسؤولون عنه ولديكم حق الاطلاع على المعلومات خاصة بالنظاق.

سيعرض الموقع أربعة خيارات للتحقق من ملكيتكم للنطاق أو إدارتكم له، وهي:

  • عن طريق البريد الإلكتروني Email
وذلك عبر إثبات ملكية حساب بريد الكتروني على النطاق، حيث تختارون واحدا من أربعة عناوين بريد الكتروني مقترحة ليصلكم عليه بريد التحقق، سيتوجب عليكم إنشاء حساب بريد الكتروني على نطاقكم يحمل الاسم المقترح إن لم يكن بين العناوين المقترحة عنوانا تملكوه أو تستطيعون استخدامه. قدرتكم على استقبال بريد التحقق الالكتروني على أحد هذه الحسابات دليل على ملكيتكم للنطاق Domain. إذا:
قوموا باختيار أحد عناوين الإيميل من العناوين الأربعة المقترحة في القائمة، ثم اضغطوا إرسال إيميل التحقق Send Verification Email>
سيصلكم رسالة تحقق من ملكية الحساب على عنوان البريد الالكتروني الذي اخترتوه، قوموا بالضغط على الرابط ضمن رسالة التححق لاثبات استلامكم للرسالة وبالتالي اثبات ملكيتكم للنطاق.

Haveibeenpwned domain search email.png

  • عن طريق البيانات الوصفية Meta Data
سيعرض لكم الموقع رمزا كما في الصورة أدناه ويطلب منكم وضعه في ترويسة الصفحة Page header عند جذر النطاق على موقعكم على النطاق. وبذلك تتحقق الخدمة من ملكيتك م للنطاق.
عند إتمام وضع الرمز في المكان المطلوب قوموا بالنقر على Verify meta tag لإتمام عملية التحقق.

600px

  • عن طريق رفع ملف
كما في الصورة أدناه، عليك إنشاء ملف نصي باسم have-i-been-pwned-verification.txt ووضع الكود السرّي الموجود في صندوق التالي داخل الملف ثم تحميل الملف إلى الموقع في جذر النطاق (أي يجب أن يكون الملف متاحا للعموم من خلال الرابط: http://اسم النطاق/have-i-been-pwned-verification.txt
عند إتمام الخطوات أعلاه, قوموا بالنقر على Verify file upload لإتمام عملية التحقق.

Haveibeenpwned domainsearch file upload.png

  • من خلال إنشاء سجل TXT على النطاق
يمكن ذلك شريطة إلا يكون النطاق نطاقاً ثانوياً. وعليك تضمين النص الظاهر في الصندوق داخل السجل.
بعد إتمام عملية التحقق من النطاق، سيقوم الموقع بإرسال المعلومات عن أية إميلات شُملت في تسريبات متوفرة على الموقع.

كلمات السرّ Passwords

يمكن من خلال الموقع التحقق فيما لو أن كلمة سر معينة قد ظهرت في تسريبات سابقة, وهذا لا يعني بالضرورة بأن حسابك قد تأثر, لكنه مؤشر على توفر هذه الكلمة في هذه التسريبات ومدى انشارها وبالتالي سهولة تخمينها من قبل المخترقين. لكن السؤال هل يمكن لنا أن ندخل كلمة السر الخاصة بنا في أي مكان غير المكان المخصص لها على الحساب المرتبطة به؟ لا ننصح بذلك.

Haveibeenpwned passwords 1.png

قمنا بتجربة كلمة السر (123456789) وهي من الكلمات الشائعة جدا ووجدنا أنها ظهرت أكثر من 7.5 مليون مرة في تسريبات سابقة.

Haveibeenpwned passwords 2.png

من تم امتلاكه Who have been pwned؟

يسرد الموقع عدد كبير من حوادث التسريب التي تتضمنها قاعدة البيانات. يمكنكم الاطلاع عليها، كما يمكنكم القراءة عن أهم التسريبات ضمن المقالة الخاصة بتسرب البيانات Data Breaches

Haveibeenpwned who.png

تنقّل في الكتيب eBook Navigation

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

تسرب البيانات Data Breaches

كلمات السرّ Passwords

مراجع References