by
Anonymous Coward
on 2023年01月09日 0時32分
(#4391247)
2017年時点ではユーザーの電子メールアドレスがHave I Been Pwned?に送信されることに対する懸念も出ていた。そのため、Firefox Monitorでは電子メールアドレスから生成したハッシュの先頭6文字(プリフィックス)のみをAPIへ送信し、残りの文字(サフィックス)を照合に使う仕組みになっている。Have I Been PwnedのAPIからはプリフィックスに一致するサフィックスを含むデータが返されるので、Firefox Monitor側でプリフィックス+サフィックスがハッシュに一致するデータのみユーザーへ通知するとのことだ https://it.srad.jp/story/18/09/28/0447253/ [it.srad.jp]
で、 (スコア:3, すばらしい洞察)
流出してなくてもHave I Been Pwnedに電話番号とメールアドレスを収集されるオチですかね
Re:で、 (スコア:2, 参考になる)
こちらでどうぞ
Firefox Monitor
https://monitor.firefox.com/ [firefox.com]
Re:で、 (スコア:1)
適当なアドレスで試してみましたが、結果の下のほうに「侵害データの提供 Have I Been Pwned」と表示されているのですが、データを自前のサーバに保存した上での自サーバ内のスキャン結果を提供しているのか、それとも毎回情報源に問い合わせてしているのかな?。
#私の本当のアドレスは怖くて確認できない(;^_^A
Re:で、 (スコア:4, 参考になる)
2017年時点ではユーザーの電子メールアドレスがHave I Been Pwned?に送信されることに対する懸念も出ていた。そのため、Firefox Monitorでは電子メールアドレスから生成したハッシュの先頭6文字(プリフィックス)のみをAPIへ送信し、残りの文字(サフィックス)を照合に使う仕組みになっている。Have I Been PwnedのAPIからはプリフィックスに一致するサフィックスを含むデータが返されるので、Firefox Monitor側でプリフィックス+サフィックスがハッシュに一致するデータのみユーザーへ通知するとのことだ
https://it.srad.jp/story/18/09/28/0447253/ [it.srad.jp]
Re: (スコア:0)
情報ありがとうございます。
#そういえば、昔みたような。
ハッシュなら安心できそうですね。
#しかし、少し疑心暗鬼になっていますので、しばらく現実逃避します(゚∀゚)
Re:で、 (スコア:1)
>Firefox Monitor
2013年に Adobe で流出したメアドで試したらちゃんとリストアップされた。
Twitter にも登録していたのだが、今回の分がしっかり引っ掛かった。
ついでに、2016年に MySpace からも流出していた事が判明した。
ちなみに、Have I Been Pwned ではメアド以外がどうか言及しないが、
こちらは『何時(リストに追加された日)』『何が』流出したかもリストアップしてくれる。
Firefox Monitor によると、今回の件が追加されたのは1月5日でメアドのみ流出となっている。
(Adobe・MySpace の件ではメアドとパスワードが流出)
# 1件だけ心配した結果、沢山引っ掛かってショックを受けないように