Annonce

Réduire
Aucune annonce.

Have I Been Pwned ? fonctionnement.

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Have I Been Pwned ? fonctionnement.

    Bonjour,

    Si vous ne connaissez pas, je vous laisse admirer: https://haveibeenpwned.com/

    Maintenant, comment ce tier a-t-il accès à toutes les adresses mail et les sites auquels elles sont rattachées ?

    Merci

  • #2
    Salut,

    Je ne connaissais pas, merci pour la découverte. Pour ce qui est de la question , je me l'explique juste par leur base de données. À mon avis, tu rentre ton adresse email ou pseudonyme et il va les comparer à leur base de données dans le même principe de recherche sur un site ou forum.

    S'il trouve une response = answer => true then echo .... "Oh no — pwned! " else "Good news — no pwnage found!"

    Simple script en PHP sur une page, le reste de l'architecture un framework Boostrap, le tout posé sur un Windows server basta cosy.Personnellement, je me demande si cette action est vraiment de bon coeur et n'ai pas juste une façon de gratter des courriels pour spam, je m'entends, cela ramène vers hackforums.com , puis avoir les mails de site piratés suppose au moins une implication de prés ou de loin.

    Je conseillerais à la majorité des personnes qui souhaiterait utiliser ce service de ne pas le faire.Les Emails sont un marché profitable pour les revendeurs et les spammeurs.

    Commentaire


    • #3
      Pour ce qui est de la question, je me l'explique juste par leur base de données.
      Merci dreamus.

      Cependant je doute de ta solution.
      En effet je ne vois pas comment un tier pourrais avoir accès à ces bases de donnée très protégées, car là où je te rejoins, c'est que justement les adresses mail sont très prisées, d'où la non accessibilité de ces bases.

      En outre, un simple script php serais difficilement capable de réaliser une telle tâche.
      Admettons que l'ensemble des bases contient 20 millions d'adresses.
      Avec un algorithme élaboré type Quick Union Find, et en supposant que les relations entre adresses et comptes aient été établies au préalable sous forme d'arbres, nous avons un algorithme de type nlog (n). En prenant 10 millions d'opérations algorithmique (et non elementaires) par seconde, cela en fait un total de 140 000 opérations pour trouver une adresse dans le pire des cas. Soit env. 14 secondes.

      Bien que le calcul soit très approché, 14 secondes est tout sauf les qques milisecondes que prends le site à partager son constat.

      Donc en effet, j'avais derrière la tête cette question de récolte d'adresses mail, d'où le topic. Et je vois que nous sommes du même avis.

      Cependant, le site pourrais très bien avoir passé un accord avec les entreprises hackées. J'en doute fortement.

      Donc si quelqu'un a une explication

      Commentaire


      • #4
        Ben ici il y a un moteur de recherche non ? En haut, tu sais ou tu tape , ben, c'est idem, c'est tout. Il injecte une BDD mise à jour avec des tonnes de Mail qui seraient corrompus et derrière quand tu tapes un mot ou un mail, il couple sa recherche sur le mot-clé pour retrouver dans la BDD le mail, s'il y est ben, tu es pwned sinon tu es clean , ah ! ? or not ?

        J'ai testé même des mails que j'ai catch ailleurs, et ce sont pas les miens. Je pense que tu n'a pas bien compris le principe.

        Demande, mot clés, BDD, retour , script PHP basique d'une page.

        Après les types qui ont monté le bordel, c'est du genre à collecter les mails, c'est tout. Réfléchis une seconde où trouve-t-il les BDD de mails corrompus ? à l'aide d'une API, je ne crois pas, c'est trop rapide, j'ai testé leur service, tu fais tourner un collecteur en toile de fond, cela reste sur le site, donc c'est sur le serveur donc sur la BDD, CQFD !

        Pour ce qui est de la réponse, pas besoin de sortir de saucisse ville, il te demande ton mail quand tu es pwned pour te donner les résultats, atteint, pourquoi veulent ils un mail ? Moi quand un site me fait poser plus de 1 question en sécurité, je zappe, mais 2 alors c'est excessif.


        Sincérement, tu va trop loin avec tes algo et Cie, suis sérieux, mais l'explication que je donne est celle qui est utilisée.

        si je te parle de ça c'est que je connais le principe, et puis j'ai des potes qui en font de toutes sortes des sites de tous types pour collecter des mails à des gogo, ou leur injecter des malwares via des WMV.
        Dernière modification par DreAmuS, 02 février 2016, 17h50.

        Commentaire


        • #5
          Tu contournes le point principal, ou alors je n'ai pas compris ton message.

          Il injecte une BDD mise à jour avec des tonnes de Mail qui seraient corrompus et derrière quand tu tapes un mot ou un mail, il couple sa recherche sur le mot-clé pour retrouver dans la BDD le mail, s'il y est ben, tu es pwned sinon tu es clean , ah ! ? or not ?
          ....Et d'où viens cette liste de mails ?
          Si tu as accès aux mails des tous les inscrits sur les sites, je suis curieux de savoir comment.

          Peut-être viennent-ils d'un rapport publié suite aux attaques subies par les sociétés. (Voici un élément de réponse à la question).
          Ou autre chose simple qui m'échappe.

          Après les types qui ont monté le bordel, c'est du genre à collecter les mails, c'est tout.
          Un élément de réponse, mais un peu généraliste. Encore une fois, si tu arrives à obtenir si facilement tout les mails d'un site, alors la sécurité des bdd ne sert plus à grand chose.

          Pour le reste, la recherche dans une bdd sur le serveur puis retour au client, en effet, pas besoin d'avoir fait saint-cyr. Cependant, c'est hors-topic.

          L'algo ne va pas trop loin, c'est au contraire un indice simple pour détecter le problème.


          Les admins sont peut-être totalement fiables, le site semble fonctionner pour moi.

          Commentaire


          • #6
            J'ai trouvé la réponse, dans les conditions du site:

            but all the data on this site comes from publicly leaked "breaches" or in other words

            Ce qui confirme mon hypothèse précédente.

            Les gars derrière sont apparemment de chez Microsoft, les intentions tout à fait légales, et le site hébergé sur un serveur puissant.


            Fausse alerte ! Et site particulièrement intéressant !

            Commentaire


            • #7
              Beaucoup de sites ont relayé ce fait, d'autant plus que sur le site, il a mis sa photo avec tout le blablabla, par contre moi je réitère ma position de donner mon courriel sur ce site. Comme l'a précisé Numerama ou d'autres, ce n'est pas vérifier que ce soit la bonne personne derrière tout cela.

              Ensuite, il ne faut pas virer parano, mais bon je donne rarement mon Email comme cela. Après tout le monde est libre de faire comme bon, il lui semble, si toi cela te convient tant mieux

              Les informations sur les courriels qu'ils utilisent pour grossir leur BDD de recherche, ils proviennent visiblement de fuites ou de rapports sur des sites de sécurité. Ils les récupèrent puis les stockent sur leur BDD afin de les soumettre au moteur de recherche du site. Enfin, c'est ce que semblent suggérer plusieurs sites qui se sont penchés sur le sujet, je n'ai pas vérifié la véracité des faits.

              Tu as tout à fait le droit d'avoir un avis différent, c'est ce qui agrément des débats, sinon on s'ennuierait et le forum, deviendrait un forum de moutons.^^

              Si d'autres veulent donner un avis n'hésitez pas.

              Commentaire


              • #8
                Ce n'est pas tres compliqué de trouver des mailist , une simple recherche google et vous voilà devant des tonnes de leaks sur pastebin.
                Pour ce qui est du fonctionnement du site, je suis du même côté que DreAmuS. Quand on entend que Facebook collecte les historiques téléphoniques (et peut être, enregistre les appels) hors facebook, c'est un gros cadeau que de soumettre son e-mail à des gars de chez Microsoft qui prétendent vous dire si vous êtes pwned!

                Commentaire

                Chargement...
                X