Коллекция 1 на HIBP

Вчера сайт Have I Been Pwned обновился новыми материалами по утекшим логинам и паролям. В результате многие подписчики этого сайта, в том числе и я, получили такую нотификацию:

Проект, созданный известным экспертом по безопасности Трой Хантом, давно специализируется на слежении за известным утечками, и обеспечивает уведомление подписчиков о том, что их логин или пароль обнаружены среди утекших материалов. В случае с последним уведомлением там ситуация немного нестандартная, потому что исходный материал изначально не является какой-то новой утечкой, а компиляцией каких-то других, в том числе и, возможно, неизвестных утечек. 2,7 млрд строк, 1,160 млрд уникальных комбинаций логинов и паролей, 773 млн уникальных адресов электронной почты, 21,2 млн уникальных паролей — короче, хорошая коллекция, достойная отдельного импорта в сервис, даже несмотря на неизвестное происхождение первоначального контента. Трой опубликовал об этом отдельный материал, который я рекомендую прочитать.

В целом, нельзя сказать, что это какая-то особенная новость, но я решил об этом написать, потому что:
а) ко мне обратились читатели с вопросом, можно ли вообще доверять этому сайту. Вообще, конечно, в интернете нельзя доверять никому!
б) другой читатель прислал материал из одного канала, в котором сайт HIBP вообще обозвали фейком и мошенническим. “Это старинный прием спамеров”. Рука, встречай лицо.

Я не буду пытаться вам доказывать, можно или нельзя доверять Трою или его сайту. Достаточно будет сказать, что я не видел у других экспертов по инфобезопасности предметной критики этого проекта или призывов не доверять данным этого сайта, или призывов не вводить адрес электронной почты и пароли для проверки на предмет утечки. Вот есть еще материал о том, как обеспечивается проверка пароля на утечку и как обеспечивается его анонимность. Популярные менеджеры паролей тоже интегрируются с HIBP для того, чтобы проводить аудит логинов и паролей, сохраненных в менеджере паролей. Так что да, фейк и мошенничество это все.