Breach Databases — комерційні бази витоків¶
Скоро
Інтеграції з комерційними breach-провайдерами знаходяться в розробці. Реліз — Q3-Q4 2026.
Що це¶
Окрім публічного HIBP існує цілий ринок комерційних агрегаторів витоків. Вони агрегують ті самі breach-дампи, але додатково містять:
- Дампи, які з юридичних причин не дійшли до HIBP.
- Розшифровані plaintext-паролі з зламаних хешів.
- Дані з combo-lists і stealer-логів (RedLine, Raccoon, Vidar — malware, що краде credentials з заражених ПК).
- Дампи з privately-traded breaches з закритих форумів.
Це значно більше покриття, ніж HIBP, але платно і з більшою юр-сірою зоною.
Навіщо вам це¶
HIBP дає вам факт: email X був у breach Y. Комерційні бази дають email X + конкретний пароль Z — а це міняє все:
- Бачите конкретний пароль вашого CTO у дампі 2018 року.
- Знаєте, чи цей пароль все ще десь використовується (через безпечні one-way перевірки).
- Виявляєте re-used паролі між особистими і робочими акаунтами співробітників.
- Знаходите ваші внутрішні credentials у stealer-логах — це означає, що у когось у компанії на ноутбуці працює malware, який зливає паролі прямо зараз.
Підтримувані постачальники¶
Платформа інтегрує 3 основних провайдери:
- Dehashed — найбільш повна база (14B+ записів). $5/тиждень або $180/рік.
- LeakCheck — точніший API, окремий канал для stealer-логів. Від $50/міс.
- BreachDirectory — безкоштовний fallback, менш свіжий індекс.
Можна підключити кілька одночасно — платформа автоматично дедуплікує результати.
Stealer-логи — окрема цінність¶
Stealer-логи — це сирий дамп із заражених ПК: куки браузера, збережені паролі, історія, скриншоти. Якщо ваш співробітник був заражений RedLine/Raccoon, у логу видно, з яких саме сайтів злито credentials.
Що ми перевіряємо:
- Чи у логах є записи з вашим корпоративним доменом (auth.yourcompany.com, vpn.yourcompany.com).
- Якщо є — це Critical, immediate IR: цей співробітник скомпрометований прямо зараз, треба негайно ротувати всі його credentials і чистити ноутбук.
Що ми зберігаємо (і що ні)¶
⚠️ Платформа не зберігає plaintext-паролі довгостроково. Це політика безпеки і compliance-вимога.
- Plaintext доступний у момент перегляду finding через окремий endpoint з audit-логом (хто і коли дивився).
- Через 30 днів після resolution навіть з audit-логів видаляється — залишається лише факт компрометації.
- Для довгострокового зберігання тримаємо лише bcrypt-hash пароля (можна перевірити збіг, але не відновити пароль).
Severity знахідок¶
| Severity | Випадок |
|---|---|
| Critical | Plaintext пароль з breach < 12 міс, email активного співробітника + stealer-лог з вашим доменом |
| High | Plaintext пароль зі старішого breach |
| Medium | Hash пароля (не зламаний) у дампі |
| Low | Email без пароля у новому дампі |
Як підключити (буде)¶
- Купити API-доступ у одного або кількох провайдерів (Dehashed / LeakCheck / BreachDirectory).
- Settings → Detection Sources → Breach Databases.
- Вибрати провайдера зі списку.
- Вставити API-ключ — він зберігається у нас зашифрованим.
- Перший скан запуститься автоматично.
Юридичні аспекти¶
⚠️ Використання breach-даних регулюється:
- GDPR (ЄС) — обробка персональних даних потребує legal basis. Зазвичай — legitimate interest для security purposes.
- Локальне законодавство — у деяких юрисдикціях (ОАЕ, КНР) використання обмежено.
Платформа не дозволяє експорт plaintext-паролів — лише перегляд для resolution. Якщо ваш compliance-офіцер хоче review нашу політику обробки таких даних — звертайтесь до support@bytecode.team.
Roadmap¶
- Q3 2026: Dehashed integration (MVP).
- Q4 2026: LeakCheck + stealer-логи.
- 2027: BreachDirectory як fallback.
FAQ¶
Чи не легше використати тільки HIBP? Для маленьких компаній — так, HIBP покриває ~80% потреб. Для enterprise з compliance-вимогами і реальним IR-процесом комерційні бази додають критичні ~20% — саме там свіжі breach-і й stealer-логи з активним malware.
Хто бачитиме мої email при запитах до провайдера? Усі ці провайдери логують API-запити. Це trust relationship — вибирайте репутабельного. Dehashed і LeakCheck публічно заявляють non-logging policy для API-ключів.