Question:
Comment puis-je être pwned si je ne suis pas inscrit sur le site compromis?
Pureferret
2019-03-04 19:23:58 UTC
view on stackexchange narkive permalink

J'ai récemment reçu un e-mail de HaveIBeenPwned.com (auquel je suis inscrit) à propos du site / outil ShareThis (non inscrit).

Je n'ai aucun souvenir de m'être inscrit à ce service.

Quand je vais récupérer le compte (je pourrais aussi bien fermer / changer le mot de passe), j'obtiens ceci:

reset password page for ShareThis, but with an error message that reads: 'No user with that Address. Need to Register?'

Les deux faits semblent mutuellement exclusifs:

Soit j'avais un compte et il a été créé, soit je n'avais pas de compte (et donc HIBP est en erreur)?

Comment connaître la situation réelle et quelle est la marche à suivre la plus sûre?

Les vidages peuvent également contenir des entrées de base de données de contact / invitation, donc si quelqu'un a téléchargé un carnet d'adresses ou si vous l'avez «envoyé à un ami», tout cela pourrait être des raisons possibles.Dit-il que le vidage contient un mot de passe?
Juste en ajoutant que j'ai eu le même problème avec le hack "ShareThis".Cette liste pourrait avoir ce comportement
Quelqu'un aurait pu agir sur la violation et déjà pris le contrôle de votre compte et modifié l'adresse e-mail associée?
@TylerH peut-être, mais ma seule préoccupation serait qu'ils réutilisent mon mot de passe sur un autre site (peu probable car je ne réutilise pas les mots de passe) ou se font passer pour moi, ce qu'ils ne peuvent pas faire s'ils ont changé l'adresse e-mail, n'est-ce pas?
@Pureferret dépend du type d'informations en dehors de votre adresse e-mail qui a été incluse dans le profil / les paramètres de ce site.Si vous n'êtes pas familier avec le site et que vous ne pouvez même pas vous connecter à l'aide de l'adresse e-mail indiquée, vous êtes * probablement * en sécurité.Ce n'était qu'un cas extrêmement complexe qui m'est venu à l'esprit.
@TylerH ma seule préoccupation est de savoir s'il a également été associé à mon compte Google et a eu accès à d'autres données personnelles
Cinq réponses:
AndrolGenhald
2019-03-04 19:32:02 UTC
view on stackexchange narkive permalink

Dans la FAQ:

Pourquoi est-ce que je considère que mon adresse e-mail a été violée sur un service auquel je ne me suis jamais inscrit?

Quand vous recherchez une adresse e-mail, vous pouvez voir cette adresse apparaître contre des violations de sites dont vous ne vous souvenez pas vous être inscrit. Il y a de nombreuses raisons possibles à cela, y compris vos données ayant été acquises par un autre service, le service se rebaptisant comme autre chose ou quelqu'un d'autre vous inscrivant. Pour une présentation plus complète, consultez Pourquoi suis-je en train de subir une violation de données pour un site auquel je ne me suis jamais inscrit?

Il est probable que certains services autorisent l'inscription sans confirmation une adresse e-mail, ou que les comptes qui n'ont pas confirmé les adresses e-mail sont toujours stockés indéfiniment mais ne peuvent pas être connectés, ou un certain nombre de problèmes similaires.

Une autre possibilité est que, plus simplement, la base de données dans laquelle votre adresse a été trouvée était un mélange de plusieurs fuites de données, la majorité des données appartenant à ShareThis.
@Pureferret La bonne partie est que si vous avez été inclus parce que (par exemple) quelqu'un d'autre a utilisé par erreur votre adresse e-mail, alors vous n'avez pas à vous soucier des informations plus sensibles comme les mots de passe.
@Pureferret Cela m'arrive tout le temps.Pour une raison quelconque, certaines personnes continuent d'enregistrer des comptes à divers endroits avec mon adresse e-mail principale.Parfois, j'oublie le mot de passe et je les verrouille, je supprime les comptes de cette façon ou je trouve des informations de contact et je leur dis directement d'arrêter d'utiliser mon e-mail (dans les limites légales), généralement je dois contacter le service client pour le service et exiger qu'ilsdéconnecter mon e-mail de ce compte.Il faut vraiment qu'il y ait une sorte de honte publique pour les entreprises qui font autre chose que (ré) envoyer un e-mail de vérification à un e-mail non vérifié.
@mtraceur D'après ce que j'ai vu, le manque de vérification n'est même pas le résultat de développeurs peu qualifiés, c'est un choix commercial intentionnel pour réduire les frictions lors de l'inscription à un service.
@mtraceur pour que vos amis utilisent votre adresse e-mail pour leur donner une connexion, et tout le spam vous parvient, charmant ...
@Qwertie Je suis d'accord, et c'est à cause de personnes comme moi qui facturent (ou poursuivent) pour un e-mail de «vérification» non sollicité que cela est en train de mourir.
@mckenzm Enseignez-moi vos méthodes afin que je puisse facturer ou poursuivre en justice pour les e-mails de non-vérification non sollicités.Nous allons les manœuvrer en tenaille dans aucun e-mail, mais c'est probablement pour le mieux.
@DrakaSAN Suggérez-vous que les méchants ne suivent pas les sources de données et ne marquent pas clairement les ensembles de données pour des raisons de conformité, comme tout le monde le fait sûrement?:)
Je signalerais également les erreurs de syntaxe.J'ai tendance à recevoir des courriels sur mon adresse name.surname@gmail.com qui étaient supposés être envoyés à namesurname@gmail.com.
@user33040: Eh bien, ces adresses sont identiques à GMail.Tout comme na.me.sur.name@gmail.com, n.a.m.e.s.u.r.n.a.m.e@gmail.com, etc.
@Qwertie Oauth a beaucoup à offrir.C'est peu de friction, vous ne pouvez pas utiliser les comptes d'autres personnes et vous ne stockez pas de mot de passe à chaque fois que vous vous inscrivez sur un nouveau site Web.
hairydresden
2019-03-04 23:18:57 UTC
view on stackexchange narkive permalink

En plus de ce qu'AndrolGenhald a dit, ils ont désactivé tous les comptes associés à la violation, il y a donc de bonnes chances qu'elle n'apparaisse pas malgré tout:

ShareThis a déjà potentiellement désactivé les comptes ShareThis associé à cet incident, donc si vous avez créé un compte avant janvier 2017, vous ne pourrez peut-être plus vous connecter.

https: //www.sharethis .com / data-privacy-incident /

Bien repéré ... Cela semble être une approche inhabituelle?
@Pureferret Malheureusement, je ne sais pas.Je viens de recevoir l'e-mail pour notre domaine de HaveIBeenPwned aujourd'hui et je faisais ma lecture dessus.
En plus de cela, ShareThis peut avoir expiré le compte après une période d'inactivité de toute façon, indépendamment d'un piratage.Quelques mois plus tard, j'ai parcouru mon fichier de mots de passe pour mettre à jour certains anciens mots de passe non sécurisés sur un tas de sites sans importance et j'ai constaté qu'ils avaient tous expiré mon compte pour inactivité.
KeyboardMonkey
2019-03-11 06:23:26 UTC
view on stackexchange narkive permalink

Alors que d'autres contributeurs ont répondu avec d'excellentes réponses, je me concentrerai sur la dernière partie de votre question:

Comment puis-je découvrir la situation réelle et quelle est la plus sûre action?

Troy Hunt, un éminent chercheur en sécurité a lancé HIBP dans le but de regrouper toutes les bases de données divulguées dans une application Web où les utilisateurs peuvent rechercher leurs adresses e-mail compromises.

Ce qu'il a commencé a parcouru un long chemin et il existe maintenant de nombreux autres sites Web qui offrent non seulement la recherche d'e-mails, mais permettent à quiconque de télécharger gratuitement l'ensemble de données divulgué.

Je connais les trois suivants où vous pouvez télécharger les fichiers de vidage complets et accéder à la source de la vérité, au lieu de compter uniquement sur HIBP qui n'offre pas beaucoup d'informations en raison des lois sur la confidentialité et d'autres choses:

https://databases.today/search.php

https://www.vigilante.pw/

https://nuclearleaks.com/

user221959
2019-11-20 05:03:57 UTC
view on stackexchange narkive permalink

Un peu en retard pour ce fil, mais je viens de recevoir une alerte via ma carte de crédit concernant le partage de cette violation. Je ne me suis jamais inscrit à partager, mais une recherche rapide dans mes anciens e-mails a trouvé quelques cas de personnes utilisant le service pour partager un article avec moi. J'imagine donc que la base de données des adresses e-mail des personnes à la réception du service a également été exposée ... ce qui expliquerait pourquoi il n'y avait pas de fuite de mot de passe haché associée à mon adresse.

Jack Williams
2019-03-06 19:23:33 UTC
view on stackexchange narkive permalink

Autant que toutes les théories sont tangibles, la plus grande possibilité est que le créateur du site Web ait un problème de données, le site Web X est censé avoir l'ID X mais a l'ID Y et affiche donc les données de l'ID Y. Pourquoi si quelqu'un s'inscrirait à des services qu'il ne pourra pas utiliser avec un e-mail qu'il ne peut pas utiliser non plus, il pourrait simplement utiliser des chaînes aléatoires s'il s'agissait d'une attaque par force brute.

Ainsi, vous avez été "pwned" mais pas sur le site Web, il ne s'affiche pas correctement.

Je pense que c'est la cause la plus probable.

Je ... je ne suis rien de ce que vous avez dit.Quel site Web, pourquoi aurait-il Y et non X ... comment une mauvaise information parviendrait-elle à HIBP?
Vous me dites qu'il est plus logique pour quelqu'un de mettre des courriels à quelqu'un sans raison, que pour la personne qui a codé le site Web pour avoir commis une erreur très simple?- X est un représentant de tout, comme N le serait en maths.Et si vous demandez de quel site Web je parle, celui dont la question est ... 'haveibeenpwned' Je viens de réaliser que vous n'avez pas lu la question à l'origine, c'est pourquoi vous êtes confus dans ma réponse, àla question que vous n'avez pas lue.
Jack, j'ai écrit la question.Je ne sais pas si vous dites que l'erreur est sur HIBP ou sur le site Web compromis?L'ID est-il une adresse e-mail ou est-il similaire à un ID de ligne de base de données?
Excuses - je n'ai pas remarqué cela.En se référant à 'haveibeenpwned', mettre le mauvais identifiant sur des éléments de données, donc lorsque l'ID est appelé (ID de ligne de base de données par exemple), il affiche les mauvaises données.
Je doute que ce soit juste une erreur de la part de HIBP.
* Vous me dites qu'il est plus logique que quelqu'un mette des e-mails sans raison à quelqu'un * - Comme l'a observé mtraceur dans un commentaire sur une autre réponse, cela arrive tout le temps.Habituellement, le "quelqu'un" pense honnêtement avoir mis sa propre adresse e-mail, malgré toutes les preuves du contraire.https://www.xkcd.com/1279/
@JackWilliams - * mettre dans certains e-mails sans raison * - cela m'arrive assez souvent, j'ai une adresse firstinitial-lastname@gmail.com et je reçois * beaucoup * d'inscriptions errantes sur le site Web où quelqu'un avec un nom similaire à moi a entré mon emailadresse au lieu de la leur.Je reçois également des formulaires fiscaux, des demandes de prêt hypothécaire, etc., et une fois, des photos nues clairement destinées à quelqu'un d'autre (il était embarrassé quand je lui ai dit qu'il avait envoyé à la mauvaise adresse) - les gens doivent vraiment faire plus attention à utiliser le bon emailadresse
Il semble que nous tendons vers la réponse que OP a un nom trop générique et a utilisé un nom trop générique dans l'adresse e-mail.Je pense toujours que c'est aussi probable que les développeurs commettent une erreur.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...