Перейти до змісту

Breach Databases — комерційні бази витоків

Скоро

Інтеграції з комерційними breach-провайдерами знаходяться в розробці. Реліз — Q3-Q4 2026.

Що це

Окрім публічного HIBP існує цілий ринок комерційних агрегаторів витоків. Вони агрегують ті самі breach-дампи, але додатково містять:

  • Дампи, які з юридичних причин не дійшли до HIBP.
  • Розшифровані plaintext-паролі з зламаних хешів.
  • Дані з combo-lists і stealer-логів (RedLine, Raccoon, Vidar — malware, що краде credentials з заражених ПК).
  • Дампи з privately-traded breaches з закритих форумів.

Це значно більше покриття, ніж HIBP, але платно і з більшою юр-сірою зоною.

Навіщо вам це

HIBP дає вам факт: email X був у breach Y. Комерційні бази дають email X + конкретний пароль Z — а це міняє все:

  • Бачите конкретний пароль вашого CTO у дампі 2018 року.
  • Знаєте, чи цей пароль все ще десь використовується (через безпечні one-way перевірки).
  • Виявляєте re-used паролі між особистими і робочими акаунтами співробітників.
  • Знаходите ваші внутрішні credentials у stealer-логах — це означає, що у когось у компанії на ноутбуці працює malware, який зливає паролі прямо зараз.

Підтримувані постачальники

Платформа інтегрує 3 основних провайдери:

  • Dehashed — найбільш повна база (14B+ записів). $5/тиждень або $180/рік.
  • LeakCheck — точніший API, окремий канал для stealer-логів. Від $50/міс.
  • BreachDirectory — безкоштовний fallback, менш свіжий індекс.

Можна підключити кілька одночасно — платформа автоматично дедуплікує результати.

Stealer-логи — окрема цінність

Stealer-логи — це сирий дамп із заражених ПК: куки браузера, збережені паролі, історія, скриншоти. Якщо ваш співробітник був заражений RedLine/Raccoon, у логу видно, з яких саме сайтів злито credentials.

Що ми перевіряємо:

  • Чи у логах є записи з вашим корпоративним доменом (auth.yourcompany.com, vpn.yourcompany.com).
  • Якщо є — це Critical, immediate IR: цей співробітник скомпрометований прямо зараз, треба негайно ротувати всі його credentials і чистити ноутбук.

Що ми зберігаємо (і що ні)

⚠️ Платформа не зберігає plaintext-паролі довгостроково. Це політика безпеки і compliance-вимога.

  • Plaintext доступний у момент перегляду finding через окремий endpoint з audit-логом (хто і коли дивився).
  • Через 30 днів після resolution навіть з audit-логів видаляється — залишається лише факт компрометації.
  • Для довгострокового зберігання тримаємо лише bcrypt-hash пароля (можна перевірити збіг, але не відновити пароль).

Severity знахідок

Severity Випадок
Critical Plaintext пароль з breach < 12 міс, email активного співробітника + stealer-лог з вашим доменом
High Plaintext пароль зі старішого breach
Medium Hash пароля (не зламаний) у дампі
Low Email без пароля у новому дампі

Як підключити (буде)

  1. Купити API-доступ у одного або кількох провайдерів (Dehashed / LeakCheck / BreachDirectory).
  2. Settings → Detection Sources → Breach Databases.
  3. Вибрати провайдера зі списку.
  4. Вставити API-ключ — він зберігається у нас зашифрованим.
  5. Перший скан запуститься автоматично.

Юридичні аспекти

⚠️ Використання breach-даних регулюється:

  • GDPR (ЄС) — обробка персональних даних потребує legal basis. Зазвичай — legitimate interest для security purposes.
  • Локальне законодавство — у деяких юрисдикціях (ОАЕ, КНР) використання обмежено.

Платформа не дозволяє експорт plaintext-паролів — лише перегляд для resolution. Якщо ваш compliance-офіцер хоче review нашу політику обробки таких даних — звертайтесь до support@bytecode.team.

Roadmap

  • Q3 2026: Dehashed integration (MVP).
  • Q4 2026: LeakCheck + stealer-логи.
  • 2027: BreachDirectory як fallback.

FAQ

Чи не легше використати тільки HIBP? Для маленьких компаній — так, HIBP покриває ~80% потреб. Для enterprise з compliance-вимогами і реальним IR-процесом комерційні бази додають критичні ~20% — саме там свіжі breach-і й stealer-логи з активним malware.

Хто бачитиме мої email при запитах до провайдера? Усі ці провайдери логують API-запити. Це trust relationship — вибирайте репутабельного. Dehashed і LeakCheck публічно заявляють non-logging policy для API-ключів.