Have I Been Pwned — стандарт перевірки витоків email

Тип: Сервіс перевірки витоків даних 🌍 (веб + API)
Позначки: 🔓 базова перевірка безкоштовна без реєстрації · 💰 API платний (підписка) · з підпискою на сповіщення · стандарт галузі
Офіційний сайт: haveibeenpwned.com
Засновник: Troy Hunt (Microsoft Regional Director, security researcher)
Заснований: 4 грудня 2013 року
База даних: понад 2 мільярди email-адрес · ~993 зафіксованих витоки даних
Використання: більше половини Fortune 500 моніторять свої домени; десятки мільйонів API-запитів щодня

Коротко

Have I Been Pwned (HIBP) — фактично галузевий стандарт серед сервісів перевірки витоків даних. Дозволяє перевірити, чи з’являлась конкретна email-адреса або пароль у відомих витоках. Створений Troy Hunt — одним з найвідоміших security-дослідників у світі. Безкоштовний для базової перевірки на сайті, з платним API для автоматизованого використання та моніторингу. У контексті пошуку особи — найкращий перший крок при наявності email-адреси: дозволяє швидко зрозуміти, які сервіси використовувала особа і чи зазнавала компрометації її облікових даних.

Що дозволяє знайти про особу

Перевірка email-адреси

• Перелік сервісів, з яких особа має зареєстрований обліковий запис (через витік)
• Дата кожного витоку — коли стався інцидент
• Категорії скомпрометованих даних: паролі, IP-адреси, фізичні адреси, телефони, дати народження, статева орієнтація тощо
• Опис обставин витоку — як саме відбулась компрометація
• Можливість виявити забуті/тіньові акаунти особи на сервісах, про які вона не згадує

Pwned Passwords

• Перевірка паролів — чи зустрічається у відомих витоках
• Технологія k-anonymity — повний пароль не передається на сервер
• 625+ мільйонів унікальних паролів у базі

Domain Search (Domain Monitoring)

• Моніторинг всіх email-адрес у межах цілого домену компанії
• Вимагає верифікації володіння доменом
• Корисно для CISO, IT-фахівців, юристів бізнесу

Як використовувати

Сценарій 1 — базова перевірка email

1. Зайти на haveibeenpwned.com
2. Ввести email-адресу
3. Отримати перелік усіх відомих витоків, де адреса з’являлась
4. Переглянути деталі кожного витоку (категорії скомпрометованих даних, дата)

Сценарій 2 — підписка на сповіщення

1. Notify Me — на сторінці haveibeenpwned.com/NotifyMe
2. Ввести власну email-адресу
3. Підтвердити володіння через лист
4. Отримувати сповіщення про нові витоки автоматично

Сценарій 3 — Pwned Passwords (для приватної перевірки)

1. Сторінка haveibeenpwned.com/Passwords
2. Ввести пароль
3. Браузер хешує SHA-1 локально
4. На сервер відправляється тільки перші 5 символів хешу (k-anonymity)
5. Отримати кількість появ пароля у витоках

Сценарій 4 — API для автоматизації (платно)

• Підписатись на API-ключ
• HTTP GET: https://haveibeenpwned.com/api/v3/breachedaccount/{email}
• Header: hibp-api-key: [your key]
• JSON-відповідь зі списком витоків
• k-anonymity search для приватних перевірок без передачі повного email

Сценарій 5 — інтеграція в Password Managers

• 1Password Watchtower — комерційний партнер HIBP
• Bitwarden, KeePass, Dashlane — інтегровані для перевірки паролів
• Безпечна перевірка всіх збережених паролів

Поради

• Найкращий перший крок при наявності email-адреси: відразу перевірити в HIBP — це безкоштовно і моментально
• Незаконного нічого немає у перевірці власної адреси чи в межах розслідування за згодою клієнта
• Sensitive breaches (інтимні платформи) — за замовчуванням приховані на веб-сайті, доступні тільки через верифіковану підписку власника email або domain search
• Перехресна перевірка зі сервісами глибшого аналізу: DeHashed, IntelX, LeakCheck
• HIBP не показує самих паролів у витоках — тільки факт компрометації. Для перегляду паролів — інші сервіси (зазвичай платні)
• Для CISO/комплаєнс-офіцерів компаній: Domain Search дає миттєвий звіт по всіх адресах в @yourcompany.com
• k-anonymity API для паролів — безкоштовний і безпечний для масових перевірок
• Для розслідувань цей сервіс дозволяє швидко встановити, наскільки активно особа використовує інтернет і які типи сервісів

Технічні вимоги та інтеграції

• Веб-інтерфейс: будь-який браузер, без реєстрації
• API v3: платний (необхідний hibp-api-key), JSON-формат
• Доступні бібліотеки: Python, Go, .NET, PHP, Java, Node.js — десятки реалізацій
• Splunk add-on, Cloudflare integration — для enterprise
• Passkeys підтримка для входу (з квітня 2026)

Вартість і тарифи

• Веб-перевірка email: безкоштовно, без реєстрації
• Notify Me (сповіщення): безкоштовно, потребує підтвердження email
• Pwned Passwords веб: безкоштовно, без реєстрації
• Pwned Passwords API: безкоштовно (k-anonymity, без ключа)
• API v3 (Breached Account / Pastes): платний — тарифи на haveibeenpwned.com/API/Key (від $3.95/місяць для базового тарифу)
• Domain Search: безкоштовно для верифікованих власників домену
• Pwned 4 Enterprise: для великих організацій з web-hook сповіщеннями

Юридичні застереження ⚠️

• HIBP не зберігає запитувані email-адреси (тільки в межах rate-limiting), але технічна можливість бачити адреси існує — для чутливих розслідувань враховуйте це.
• Перевірка чужої email-адреси в межах розслідування адвокатом потребує правової підстави — договір з клієнтом, ордер, ухвалу суду (ст. 11 ЗУ «Про захист персональних даних»).
• Результати HIBP — серйозний indicator, але не є офіційним доказом у суді. Для юридично значущих процедур потрібен нотаріально посвідчений скріншот або експертний висновок.
• Інформація з витоків отримана з джерел, які за походженням є незаконними. Використання її агрегованої форми (як в HIBP) є етично прийнятним, але прямий доступ до самих витоків може створювати юридичні ризики.
• Sensitive breaches приховані за замовчуванням — не намагайтесь обходити цей механізм без правових підстав.
• Pwned Passwords ніколи не передавайте через сторонні сервіси без k-anonymity — використовуйте офіційний API.
• Перевірка вказує лише на факт реєстрації на сервісі — не на справжнє використання чи активність особи на ньому.

Альтернативи та доповнення

• DeHashed — платний сервіс з доступом до самих витоків (паролі тощо)
• IntelligenceX — пошук у даркнеті, leaks, doxbins
• LeakCheck — freemium-альтернатива
• Snusbase — платна, з доступом до паролів
• BreachDirectory — безкоштовний пошук
• EmailRep.io — оцінка репутації email
• Holehe — CLI-інструмент для пошуку акаунтів за email
• Epieos — комплексний пошук за email

🔗 haveibeenpwned.com — основний сайт
🔗 API v3 документація
🔗 API ключ і тарифи
🔗 Pwned Passwords
🔗 Notify Me (підписка)

← Повернутися до каталогу