have i been pwned

• e-posta adresinizi yazarak, bu e-posta adresiyle ilişkili kişisel bilgilerin hack'lenen bir siteden çalınarak halka açılıp açılmadığını gösteren website. ne kadar güvenilir ben de bilmiyorum.
• (bkz: troy hunt)
• link adresinden erişilebilir.
• (bkz: pwned passwords)
• şimdi şunda bir hem fikir olalım. bu çalınan veriler, database'ler falan sağdan soldan toplanmış database'ler. haliyle siz oraya mail adresinizi yazdığınız zaman size "şifreniz ele geçirilmiş" diyor fakat aslında veritabanında sizin daha önce kayıt olduğunuz (veya başkasının sizin mail adresinizle kayıt olduğu) siteden aldığı verilere dayanarak size bunu söylüyor. bu da doğrudan sizin mail şifrenizin ele geçirildiği anlamına gelmez.
  
  mesela;
  
  blackhatworld (gerçekten bunların da 70k veritabanı sızdırılmış) forumuna üye oldunuz ve mail adresinizi kullandınız, fakat mail şifreniz ve foruma kayıt olurken kullandığınız şifre farklı. işte tam burada sistem size "eyvah mail şifreniz ifşa olmuş" diyor. evet aynı şifreyi kullanmanız bir olasılık fakat o kadar çok siteden o kadar çok veri sızmış ki alakasız yerlerde açılan kayıtlar ile şifreleri eşleştirip mail şifreleri ifşa oldu demek doğru değil.
  
  gelelim şifre kontrol kısmına. efendim aynı mantık burada da geçerli. diyelim ki sizin şifrenizi hindistan'dan bir eleman kullanıyor, sistem bu noktada "aha valla senin şifre patlamış" diyor size, evet risk var mı var fakat bu zaten önceden beri vardı. yani internette zaten en kısa 8 en uzun 16 hane olacak şekilde bütün harf ve numaraların kombine edilmiş hali var. buradaki mesele hangi şifrenin hangi mail adresiyle eşleşmiş olmasıydı, ki o da tam olarak eşleşmiş diyemeyiz.
  
  evet bir veri sızıntısı var, fakat sanıldığı kadar nokta atışı ve tehlikeli değil.
  
  `peki ne yapmak lazım? sıradan bir kullanıcı ne yapmalı?`
  öncelikle içinizi rahatlatayım, çoğu mail sistemi tanınmayan bir cihazdan giriş yapıldığında "hop dur bir dakika" moduna geçiyor. bu noktada yapmanız gereken ilk iş iki adımlı doğrulamalı olarak hesaplarınızı kullanmanız. yani hesabınıza giriş yaparken cep telefonu onayı almanız. bunu sık sık girdiğiniz hesaplarda yapmanız can sıkabilir, fakat en azından cep numaranızın kesinlikle hesabınıza tanımlı olması gerekli. bu şekilde hesaba yabancı bir cihazdan giriş olursa sizden onay isteyecek.(iki adımlı doğrulama aktif olmasa da bunu isteyecek) 2. alınacak önlem ise mail adresiniz için farklı bir mail adresini 'kurtarma e-postası' olarak eklemek. bu iki önlem sayesinde kesinlikle elinizden uzun süreli olarak mail adresiniz alınamaz. ayrıca gönderdiğiniz ve aldığınız mailleri de arada bir dışarı aktarıp bilgisayara kaydederseniz hesabınızı geri alırken bu kayıtları kullanabilirsiniz. veya bilgisayara kaydetmek yerine benim gibi kendi kurtarma e-postanızı kendiniz açıp, daha sonra bazı mailleri 2. e-postanıza da göndermek.
  
  elbette klasik olarak şifrenizi güncelleyin. şifrenizi 6 ayda bir güncelleyebilirsiniz.
  
  bunlar dışında kayıt olduğunuz önemli forum, topluluk veya alışveriş siteleri varsa kontrol edip şifrelerinizi güncelleyebilirsiniz. içiniz rahatlar.
  
  peki yeni şifrem de sızmışsa?
  muhtemelen. aklınızda tutabileceğiniz uzunlukta ve karmaşıklıkta olan şifreler muhtemelen bu veritabanı sebebiyle sızmış durumda. fakat yukarıda dediklerimi anladıysanız bu durumu dert etmeyeceğinizi düşünüyorum. yine de "ben hiç sızmamış bir şifre istiyorum" diyorsanız bu siteyi kullanabilirsiniz. bu site collection #1 ve diğer veritabanlarında geçen şifreleri de eleyerek size hiç kullanılmamış bir şifre üretiyor.
• fbi ile işbirliğine giden platform. fbi ifşa olan parolaları paylaşacakmış siteyle, sonuçlar daha ürkütücü bir hal alacak gibi.
  kaynak
• pwned passwords bileşeninin sahipliği de .net foundation'a geçmiş. sitenin geleceği için süper haber.
• bu sitede maillerimi kontrol ettiğim zaman varlığından bile haberdar olmadığım siteler yüzünden mailimin gondiklendiğini söylüyor bana. ben o siteye bırak girmeyi, hayatımda ilk defa have i been pwned sayesinde görüyorum. bunun sebebi ne olabilir acaba.
  
  (bkz: bilenler bilmeyenlere anlatsın)
  (bkz: öğretmenim yazılıda çıkacak mı)
• data breach olaylarında sıkıntı yaşamak istemiyorsanız.
  
  register olurken relay yapın.
  
  firefox relay > duck > tor chain relay!
  
  breach durumunda register olduğunuz mail adresinizi sildin oldu bitti.
  
  artık btc isteyen maillerden kurtulmuş olursunuz.
  
  yani primary mail adresinizi share etmeyin kısacası!
• trello tarafından mailimiz sızdırılmış galiba. hayırlı olsun.