Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Aktuální hitovka - kontrola ukradené emailové adresy
květen 24
Aktuální hitovka - kontrola ukradené emailové adresy

​V poslední době je žhavým hitem možnost nechat si na webu zkontrolovat, jestli se vaše emailová adresa nenachází v nějaké databázi ukradených přihlašovacích údajů. Údajně.

Moje technologie zachází dokonce ještě dál a umí zkontrolovat zda někdo neukradl dokonce číslo vaší kreditní ​karty.

Zkuste zde: https://www.sevecek.com/UkradeneKarty/byla-vase-karta-ukradena.htm

Comments

Re: Aktuální hitovka - kontrola ukradené emailové adresy

jedním zástupcem poměrně prominentním je https://haveibeenpwned.com

díval jsem se právě na to, jak odesílají tu emailovou adresu. Normálně udělají HTTP GET a v URL tam vrazí tu adresu - například takto:
https://haveibeenpwned.com/api/v2/breachedaccount/kamil.idiot%40kamilovo.com?includeUnverified=true
Kdyby to měla být slušná služba, tak by z toho na klientovi v JavaScriptu udělala hash a tu potom na serveru porovnávala. Takže to slušná služba není.
ondass on 24.5.2016 9:16

Re: Aktuální hitovka - kontrola ukradené emailové adresy

Přesně! Proč někde něco složitě krást, když se většinou stačí jenom zeptat :-D
Tomáš on 24.5.2016 9:29

Re: Aktuální hitovka - kontrola ukradené emailové adresy

bude aj vyhodnotenie ?
chalk on 24.5.2016 11:09

Re: Aktuální hitovka - kontrola ukradené emailové adresy

už jsem o tom přemýšlel, ale vyhodnotit to nemám zatím jak, protože se ta data vůbec ke mě na server neodesílají, takže já ty přesné hodnoty nemám. prokliknout se to dá i totálně bez zadání hodnoty, nebo s libovolně nesmyslnou hodnotou. Takže já nepoznám, jestli to někdo opravdu zadal, nebo to jenom zkušebně prokliknul.

Ano, poznám kolik je tam prokliků, ale ne "jakých". Což nemá vypovídací hodnotu.

Šlo by to vylepšit tak, že bych tam měl v tom formuláři nějakou alespoň základní validaci, jestli to vypadá jako emailová adresa, nebo jestli to je opravdu číslo karty, ale to sem nechtěl až tak moc komplikovat.

uvidím, třeba najdu trochu času tam dát validaci :-) aspoň na klientovi. Nechci to vůbec odesílat přes internet, protože nechci řešit bezpečnost.
ondass on 24.5.2016 11:15

sofistikovanejsi varianta

s CTRL+F nad seznamem hesel / karet / ... popsana zde
http://www.soom.cz/clanky/623--Jak-zjistit-heslo-CTRL-F
:-)
Martin Langer on 25.5.2016 15:02

Re: Aktuální hitovka - kontrola ukradené emailové adresy

no ale aj ked je vasa stranka vyukova ako pisete, HTTP by byt naozaj nemala. Co ak vasu vyukovu stranku a teda aj vasu autoritu niekto vyuzije na zber tych udajov? Myslim to tak, ze ak bezpecnostny expert Ondrej Sevecek vyzve na zadanie kreditnej karty, tak mu mozno uveria aj zdatnejsi jedinci... :)
soso on 25.5.2016 21:47

Re: Aktuální hitovka - kontrola ukradené emailové adresy

nevyužije :-) ten formulář se vůbec neodesílá. i když něco zadáte do toho políčka, tak se to na server vůbec neposílá. je to schválně na dva formuláře, takže to tlačítko je jiný formulář. zadaná data vůbec po internetu neletí :-)

přesně proto, aby se nedalo říct, že se něco dá odchytit, nebo že by se to mohlo čistě náhodou u mě na serveru zalogovat :-) Takže není co zalogovat ani odchytit, i kdyby to člověk náhodou rozjel přes HTTP.

já jsem opatrnej :-)
ondass on 25.5.2016 21:54

Re: Aktuální hitovka - kontrola ukradené emailové adresy

Co hovorite na tuto stranku, je to tiez len podvod ?
https://haveibeenpwned.com/
lupgo on 27.5.2016 18:07

Zas takový security problém v tom nevidím

Já bych si dovolil oponovat.

Zkoušel jsem tam nějaká známá leaknutá id. Dle použitých leak služeb odpovídá, že ta stránka funguje, tzn. že ty databáze dostupné má, takže na všechny, kteří už prozrazení jsou stejně id/e-mail a nejspíš i heslo má :-)

Tím nejspíš má i velké % id/e-mailů bez prolomeného hesla.

Takže, když vím, že např používám linkedin, tak už si security tolik nezhorším.

Každopádně dobrý tip je s tím GET, podle mě to málokdo hlídá, když to je jen http. (haveibeenpwned.com má https).
jeza on 2.9.2016 14:25

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments