HIBP — витоки облікових даних¶
Що це¶
Have I Been Pwned — найбільший публічний індекс зламів даних. Він агрегує дампи з понад 800 відомих breach-ів (LinkedIn, Adobe, Dropbox, Collection #1-5 та інших) — це сотні мільярдів записів про скомпрометовані email-адреси та паролі.
Навіщо вам це¶
Витоки облікових даних співробітників через сторонні сервіси — найдешевший спосіб атакувати вашу компанію. Сценарій типовий:
- Зловмисник бере дамп LinkedIn 2021 року.
- Шукає у ньому email вашого CTO.
- Дістає пароль, який там лежить.
- Пробує цей пароль у вашому Slack, VPN, GSuite, AWS Console.
Це називається credential stuffing, і це найпоширеніша причина компрометації організацій у 2024-26 роках.
BCP Portal моніторить ваші корпоративні email-адреси у базі HIBP і повідомляє щойно з'явиться новий breach, у якому вони фігурують — задовго до того, як цим скористаються зловмисники.
Що ми перевіряємо¶
- Email-адреси — чи з'являлась конкретна адреса у будь-якому з відомих витоків.
- Домени — всі breach-і, пов'язані з вашим корпоративним доменом одразу.
- Дата витоку і які саме дані злили — паролі, телефони, адреси, дати народження.
Severity знахідок¶
| Severity | Коли так класифікуємо |
|---|---|
| Critical | Breach містить паролі, верифікований, стався менше року тому |
| High | Breach містить паролі або телефони |
| Medium | Breach з email + ім'я / адреса / DOB |
| Low | Лише email без додаткових атрибутів |
Що бачите у дашборді¶
Знахідка HIBP показує:
- Який email скомпрометовано.
- Назву breach (наприклад, LinkedIn 2021).
- Дату витоку та дату публікації в HIBP.
- Які саме дані потрапили у витік.
- Severity та рекомендовану дію (наприклад: примусово скинути пароль цього користувача у всіх системах).
Як підключити¶
- У платформі: Settings → Detection Sources → HIBP.
- Натиснути Connect.
- Якщо у вас вже є HIBP API-ключ — вставити його. Якщо ні — кнопка веде на форму реєстрації ключа на HIBP.
- Готово — перший скан запуститься автоматично.
Про API-ключ
HIBP вимагає платний API-ключ (~$3.95/міс) для перевірки email. Це обмеження самого HIBP, не нашої платформи. Ключ зберігається у нас зашифрованим — навіть наша підтримка його не бачить у відкритому вигляді.
Розклад сканування¶
Рекомендована частота — щодня. HIBP оновлюється раз на кілька днів, тому частіші скани лише з'їдатимуть вашу квоту API без додаткової користі.
FAQ¶
Чи безпечно надсилати email клієнтів у HIBP? Так. HIBP не логує запити з API-ключем (це частина їхньої публічної політики), і email обробляються лише на нашому сервері — вони ніколи не йдуть з вашого браузера.
Що робити, якщо знайдено breach?
1. Примусово скинути пароль скомпрометованого користувача у всіх ваших системах.
2. Перевірити, чи цей пароль не використовувався ним в інших ваших сервісах.
3. Включити MFA, якщо ще не включено.
4. Закрити finding як resolved.
Чому одразу багато знахідок при першому скані?
HIBP має історію витоків за 10+ років. Перший скан показує всі breach-і, які траплялись будь-коли. Це нормально — закрийте старі як acknowledged і далі реагуйте лише на нові, які з'являтимуться надалі.
Як часто HIBP додає нові breach-і? У середньому 5-15 нових breach-ів на місяць. Великі дампи (десятки мільйонів записів) — кілька на квартал.