Blogg
22.06.2021
min tid å lese

Noen hos dere som har blitt pwned?

Informasjon som ikke er godt nok sikret mot tilgang fra internett er tilgjengelig for dem som vil ha tak idet, på det åpne eller mørke nettet. Lekkasje og tyveri av brukerinformasjon har blitt en del av hverdagen.
<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Noen hos dere som har blitt pwned?</span>

Have I been pwned

Om du ikke vært helt uten nettilgang de siste årene, er sjansen stor for at Troy Hunts tjeneste «Have I been pwned» har kommet opp i en eller annen sammenheng. Her har vi i noen år kunnet søke på epostaddressene våre og fått beskjed om den har dukket opp i de samlingene av brukerdata Hunt har tatt inn i sin etter hvert meget omfattende database, som i skrivende stund inneholder data om nærmere 11,5 milliarder konti fra 542 nettsteder. Denne on-demandtjenesten er fortsatt tilgjengelig og er utvidet til at du kan søke på telefonnummer. Du kan også registrere epostadressen og få varsel om denne dukker opp i nye datasett som legges til.

Nylig ble tjenesten utvidet slik at et domene kan registreres og motta varsler når data som matcher dette domenet legges til i databasen til «Have I been pwned». Dette gir en vesentlig bedre mulighet til å følge med for alle oss som er ansvarlige for et domene, enten privat eller i jobbsammenheng. 

Dette er lagt opp slik at det skal være enkelt. Gå til "Domain Search" hos Have I Been pwned. Her legger du inn domenenavnet, en epostadresse som skal motta varsler og så må du igjennom reCaptcha.

Screenshot-2021-06-18-at-13.28.32-Sicra

Siste steg i dette er å verifisere at du har admintilgang for domenet. Det er fire måter å gjøre dette på:

  • Epost med en verifikasjonskode sendt til en av fire standard epostkonti: «security», «webmaster», «hostmaster» eller «postmaster»

  • Legge en tekstfil i domenets root med navnet «have-i-been-pwned-verification.txt»

  • Legge til «have-i-been-pwned-verification» som en meta-tag i på domenets web-root

  • Legge in en TXT-record med navnet «have-i-been-pwned-verification» i domenets DNS

De tre siste må inneholde en verifikasjonskode du får oppgitt. Bruker du en av epost-alternativene får du en verifikasjonskode som registreres på siden som er oppe.

Screenshot-2021-06-18-at-13.29.30-Sicra

Når verifikasjon er gjennomført får du en rapport trukket ut fra databasen med det som eventuelt finnes for domenet allerede. Rapporten kan du ta ut som json, i Excel-format eller som vakkert formatert html5.  

Screenshot-2021-06-18-at-15.25.34-Sicra

Eksempel på informasjon som kommer i rapporten. Jeg var en av 150+ milioner Adobe brukere som fikk data lekket i oktober 2013. Legg merke til at “password” er en klasse i informasjonen. Adobe hadde ikke sikret passordene på en adekvat måte og illurstrerer viktigheten av unike passord for hver konto du har. 

Varsel om nye registreringer sendes til epostadressen som ble oppgitt i starten av registreringen. 

Kanskje greit å gjøre før ferien? 

Les mer

Cybersikkerhet som konkurransefortrinn – trygghet som investerer i tillit
Blogg

Cybersikkerhet som konkurransefortrinn – trygghet som investerer i tillit

Sikkerhetstrening for ansatte: Slik bygger du bevissthet
Blogg

Sikkerhetstrening for ansatte: Slik bygger du bevissthet

NIS2 kommer – men hvem eier egentlig ansvaret for sikkerheten?
Blogg

NIS2 kommer – men hvem eier egentlig ansvaret for sikkerheten?

Fagblogg
Cybersikkerhet
10 sikkerhetstiltak virksomheten bør ha på plass før ferien
Blogg

10 sikkerhetstiltak virksomheten bør ha på plass før ferien

Fagblogg
Cybersikkerhet

Skreddersydd cybersikkerhet for virksomheter og institusjoner – så dere kan vokse, innovere og jobbe uten bekymringer.

Ta kontaktRing oss +47 648 08 488