我的資料外洩了嗎？資安資料庫Have I been pwned成立10週年，他是怎麼運作的？

資料外洩頻傳，網站Have I been pwned是許多人會嘗試的服務，只要輸入信箱，就會告訴你「是否曾被流出」。

這個網站到底是怎麼運作的？

每當有資料外洩的消息，公司常常為了維持名譽不願公開，消費者始終也不知道自己的密碼是否外流。

過去曾面臨相同狀況的資安專家Tony Hunt，認為使用者有權利知道自己的資料是否成為外洩事件的受害者，憑一人之力打造出全球最大的外洩密碼資料庫Have I been pwned，讓使用者自行輸入信箱或密碼進行檢測，提醒使用者網路使用的風險，並趁早修改早已暴露於風險中的帳號。

作為第三方網站的HIBP網站，在2013年12月創立後迎來十周年，資料庫至今已與全球34個政府合作，整理超過128億個外洩資訊，成為全球存有最多外洩密碼的資料庫。

為使用者奪回資料控制權，HIBP網站讓外洩事件細節透明化

「Have I been pwned？（我的資料被外洩了嗎？）」網站（簡稱HIBP）自2013年由澳洲資安專家Troy Hunt創立。名稱中的「pwned」在線上遊戲社群中因o、p鍵盤位置相近，而常被視為「owned」的誤寫，並在日後延伸出描述非法取得某物的含意。如同網站名稱所暗示，HIBP網站在做的便是整理大量因個資外洩事件而被竊取的密碼。

而這一切的起點必須回到2013年11月，知名專案軟體公司Adobe發生了當時規模最大的帳號外洩事件，高達1.52億個Adobe客戶的電子郵件及密碼被駭客竊取，其中也包含了Tony Hunt的資料。

即使他自己並不是Adobe網站的客戶，但因他曾註冊會員的公司不久前被Adobe所收購，Tony Hunt發現自己也成為資料外洩的受害者之一。驚嚇之餘，他不斷想著自己的資料還在哪裡被外洩了？因此，Adobe外洩事件的兩個月後，他創立了可以為世上所有人回答此問題的網站Have I Been Pwned？

美國FBI、英國NCA指定合作，HIBP網站成為資料外洩的提醒鐘

HIBP網站不單確認使用者的電子信箱是否有被外洩，同時也提供資訊外洩提醒服務。使用者先在網站中輸入自己的信箱帳號，當Tony Hunt進行資料庫更新時，系統偵測到使用者所輸入的帳號被列在外洩名單中，便會即刻寄出提醒使用者要更改密碼的信件。

HIBP網站也在近年延伸出子網站Pwned Passwords，使用者不再只能透過輸入自己的信箱確認是否外洩，而是能在子網站以個人密碼進行搜尋。

自2013年創建以來，HIBP網站至今已成為全球最大的外洩密碼資料庫，收錄了738個被駭網站上的客戶資訊，其中含有高達128億個外洩資訊。HIBP網站同時也是如美國聯邦調查局（FBI）、英國國家打擊犯罪局（NCA）等各國重要情報機構合作對象。根據Tony Hunt個人部落格資料統計，截至2022年7月，HIBP網站已與全球34個政府合作。

儘管網站上收有龐大數量的外洩資料，十年來網站的技術及營運工作卻僅透過Tony Hunt一人處理，甚至在2021年他的妻子Charlotte Hunt接手行政部門前，相關的行政事務同樣也是由他自己負責。幸好團隊在2023年迎來首位兼職夥伴的加入，曾入選為微軟選最有價值專家的Stefán Jökull Sigurðarson主要協助維護及優化HIBP網站的程式碼資料庫及雲端基礎設施。

全球最大外洩資料庫宣布併購卻無疾而終，HIBP最終走向開源之路

根據部落格文章整理，HIBP網站在2019年就已達到每日15萬的網站訪客數，若在外洩事件發生時，HIBP網站最高曾有一日1,000萬次訪客量。隨著管理的外洩資料逐漸增多，加上網站使用者數量指數型成長，Tony Hunt在2019年開始意識到自己無法負荷日漸增加的資料及責任，而決定接受長期合作的KPMG建議拋售HIBP網站，此舉卻也為他帶來不少批評。

當HIBP網站拋售消息傳出，來自世界各地的使用者以「為商業利益出售使用者個資」為由批評Tony Hunt的決定。Tony Hunt也隨即解釋，拋售計畫實際上會在有條件的情況下進行，包含網站仍舊須以免費的形式開放給使用者、Tony Hunt本人仍要繼續保留在HIBP專案中等。

然而，在與多個潛在買家接洽後，Tony Hunt在2020年初宣布取消HIBP網站出售的消息。他在部落格文章中表示，由於收購方本身業務模式的變化，及他本人意識到HIBP網站的收購將會為社會造成的影響，HIBP網站未來將會繼續獨立運作。

Tony Hunt並未放棄尋找可以共同負擔網站營運協作者的機會，並在當年8月於部落格宣布HIBP網站將走向開源，希望透過這樣的改變，逐步讓HIBP網站走向一切開放的目標，讓更多有意願共同加入維持HIBP社群的使用者，讓HIBP網站得以持續營運。

六成中小企業在資料外洩後宣布倒閉，外洩事件後企業重建之路難行

根據資安雜誌《Cybercrime Magazine》統計，因外洩事件後衍生而來的高額處理成本及失去的客戶信任，有六成中小企業在事件爆發後半年內宣布倒閉。

在財務安全及網路安全雙面向受到威脅的情況下，面對外洩事件傳出的企業又該如何有效止血，避免處理不當而造成更大的企業傷害。作為HIBP網站的守護者Tony Hunt常在外洩事件發生的企業左右，觀察團隊如何處理外洩事件，他也在部落格中寫下給同樣面臨困難的企業建議。

Tony Hunt分享，當他在許多外洩事件發生時企圖聯繫企業，但對方不認真對待舉報、不及時處理的態度總讓他感到無奈，他建議企業在平時就先準備好自己的安全報告，其中包含資安事件發生時的對接成員及預先設定事件發生後的處理措施等，以便將後續處理成本壓至最低。

若不幸真的發生外洩事件，應該要及時透過信件聯繫所有客戶，告知對方事件發生的時間點及企業後續將如何處理，藉此避免使用者透過如媒體等第三方管道得知消息，並定期透過社群媒體更新外洩事件處理進度，減少使用者間的不安全感。

Tony Hunt在文章的最後提到，儘管處理外洩事件對企業而言會消耗極大腦力及精神，而伴隨不同營運國家的法律規範下的多項法律後果也會讓後續處理更加複雜，但他表示作為一個企業，在面對使用者對企業的信任時，必定要在事件發生的幾天內讓所有關係人得知並了解事件細節，並盡力保護使用者資料免受更進一步的風險。

資料來源：《INVERSE》、《The Record》、《TechCrunch》、《Threatpost》、《ZDNET》、《ABC News》、《The Verge》