Перейти до змісту

HIBP — витоки облікових даних

Що це

Have I Been Pwned — найбільший публічний індекс зламів даних. Він агрегує дампи з понад 800 відомих breach-ів (LinkedIn, Adobe, Dropbox, Collection #1-5 та інших) — це сотні мільярдів записів про скомпрометовані email-адреси та паролі.

Навіщо вам це

Витоки облікових даних співробітників через сторонні сервіси — найдешевший спосіб атакувати вашу компанію. Сценарій типовий:

  1. Зловмисник бере дамп LinkedIn 2021 року.
  2. Шукає у ньому email вашого CTO.
  3. Дістає пароль, який там лежить.
  4. Пробує цей пароль у вашому Slack, VPN, GSuite, AWS Console.

Це називається credential stuffing, і це найпоширеніша причина компрометації організацій у 2024-26 роках.

BCP Portal моніторить ваші корпоративні email-адреси у базі HIBP і повідомляє щойно з'явиться новий breach, у якому вони фігурують — задовго до того, як цим скористаються зловмисники.

Що ми перевіряємо

  • Email-адреси — чи з'являлась конкретна адреса у будь-якому з відомих витоків.
  • Домени — всі breach-і, пов'язані з вашим корпоративним доменом одразу.
  • Дата витоку і які саме дані злили — паролі, телефони, адреси, дати народження.

Severity знахідок

Severity Коли так класифікуємо
Critical Breach містить паролі, верифікований, стався менше року тому
High Breach містить паролі або телефони
Medium Breach з email + ім'я / адреса / DOB
Low Лише email без додаткових атрибутів

Що бачите у дашборді

Знахідка HIBP показує:

  • Який email скомпрометовано.
  • Назву breach (наприклад, LinkedIn 2021).
  • Дату витоку та дату публікації в HIBP.
  • Які саме дані потрапили у витік.
  • Severity та рекомендовану дію (наприклад: примусово скинути пароль цього користувача у всіх системах).

Як підключити

  1. У платформі: Settings → Detection Sources → HIBP.
  2. Натиснути Connect.
  3. Якщо у вас вже є HIBP API-ключ — вставити його. Якщо ні — кнопка веде на форму реєстрації ключа на HIBP.
  4. Готово — перший скан запуститься автоматично.

Про API-ключ

HIBP вимагає платний API-ключ (~$3.95/міс) для перевірки email. Це обмеження самого HIBP, не нашої платформи. Ключ зберігається у нас зашифрованим — навіть наша підтримка його не бачить у відкритому вигляді.

Розклад сканування

Рекомендована частота — щодня. HIBP оновлюється раз на кілька днів, тому частіші скани лише з'їдатимуть вашу квоту API без додаткової користі.

FAQ

Чи безпечно надсилати email клієнтів у HIBP? Так. HIBP не логує запити з API-ключем (це частина їхньої публічної політики), і email обробляються лише на нашому сервері — вони ніколи не йдуть з вашого браузера.

Що робити, якщо знайдено breach? 1. Примусово скинути пароль скомпрометованого користувача у всіх ваших системах. 2. Перевірити, чи цей пароль не використовувався ним в інших ваших сервісах. 3. Включити MFA, якщо ще не включено. 4. Закрити finding як resolved.

Чому одразу багато знахідок при першому скані? HIBP має історію витоків за 10+ років. Перший скан показує всі breach-і, які траплялись будь-коли. Це нормально — закрийте старі як acknowledged і далі реагуйте лише на нові, які з'являтимуться надалі.

Як часто HIBP додає нові breach-і? У середньому 5-15 нових breach-ів на місяць. Великі дампи (десятки мільйонів записів) — кілька на квартал.