Крупные утечки последних лет вывели в открытый оборот миллиарды email‑адресов и более 1,3 млрд уникальных паролей, значительная часть которых ранее нигде не светилась. Have I Been Pwned (HIBP) агрегирует эти данные: по одному адресу показывает, в каких инцидентах он фигурировал и какие типы данных утекли — только email, связка email+пароль, телефоны, ответы на секретные вопросы и т.д.. Для корпоративных доменов и личных адресов топ‑менеджмента это позволяет быстро увидеть, какие внешние сервисы стали точкой компрометации и какие учетные записи нужно срочно закрывать или менять.
"Пароль сложный, нигде его не повторяю, взломать меня нельзя». Практика показывает обратное: большинство компрометаций происходит не через прямой подбор, а через повторное использование уже утёкших паролей на других сервисах. HIBP не показывает сами пароли, но факт их утечки и список скомпрометированных сервисов даёт атакующему карту точек входа; тот же набор данных даёт эту карту и вам.
Have I Been Pwned — признанный мировым инструментом для OSINT и кибербезопасности: его используют и частные пользователи, и корпорации, и команды threat intelligence. Помимо поиска по email, HIBP предоставляет Pwned Passwords API для проверки паролей по хэшам: сервис сообщает, был ли конкретный пароль когда‑либо в утечках, не раскрывая его в открытом виде. На базе HIBP работают дочерние сервисы (Avast Hack Check, LeakCheck и др.), а также внутренние политики многих компаний по запрету использования «засвеченных» паролей.
Практический вывод
Для юристов и комплаенса это не «игрушка для айтишников», а обязательный элемент базовой due diligence цифрового периметра. Минимум для бизнеса:
- единоразово прогнать через HIBP ключевые корпоративные домены и персональные адреса топ‑менеджмента;
- встроить проверку паролей через Pwned Passwords в политику ИБ при создании/смене учёток;
- документировать результаты проверок в рамках внутреннего профиля безопасности и планов по реагированию на инциденты.
🔧 Инструменты
- Have I Been Pwned (проверка email и обзор утечек) — https://haveibeenpwned.com 🔎
- FAQ и пояснения по результатам («pwned» / «no pwnage found») — https://haveibeenpwned.com/FAQs ❓
- Pwned Passwords (проверка паролей по хэшам, без передачи «вчистую») — https://haveibeenpwned.com/Passwords 🔐
- Альтернативные сервисы на базе HIBP и собственных баз (Avast Hack Check, LeakCheck, «Утечки данных» от Ростелекома) — обзор: https://setka.ru/posts/019a299d-f163-7043-a05c-0b6c646d5f13 🧰
