电子邮件地址数据泄露检查

电子邮件地址数据泄露检查

专用API
服务商 服务商: HaveIBeenPwned
【更新时间: 2024.08.15】 之前在数据泄露中暴露的密码。API允许通过RESTful服务快速搜索pwned帐户列表(电子邮件地址和用户名)。
服务星级:6星
⭐ ⭐ ⭐ ⭐ ⭐ ⭐ 🌟
调用次数
0
集成人数
0
商用人数
0
! SLA: N/A
! 响应: N/A
! 适用于个人&企业
收藏
×
完成
取消
×
书签名称
确定
<
产品介绍
>

什么是电子邮件地址数据泄露检查?

“电子邮件地址数据泄露检查” 是一个API接口,它允许用户通过简单的HTTP请求来查询其电子邮件地址是否出现在已知的数据泄露事件中。这项服务能够帮助用户及时了解自己的电子邮件地址是否已经泄露,从而采取适当的措施来保护其在线账户的安全。

什么是电子邮件地址数据泄露检查接口?

由服务使用方的应用程序发起,以Restful风格为主、通过公网HTTP协议调用电子邮件地址数据泄露检查,从而实现程序的自动化交互,提高服务效率。

电子邮件地址数据泄露检查有哪些核心功能?

  1. 获取帐户的所有违规行为:该 API 最常见的用途是返回特定帐户涉及的所有违规行为的列表。该 API 采用一个参数,即要搜索的帐户。该帐户不区分大小写,并且将删除前导或尾随空格。该帐户应始终采用 URL 编码。
  2. 获取系统中所有被破坏的站点:“违规”是指系统被攻击者破坏并泄露数据的情况。例如,Adobe 违规、Gawker 违规等。可以返回系统中每个违规的详细信息,目前系统中有 789 个违规。
  3. 获取单个被破坏的网站:有时只需要一次违规,并且可以通过违规“名称”来检索。这是稳定值,可能与违规“标题”(可以更改)相同,也可能不同。有关详细信息,请参阅下面的违规模型。
  4. 获取系统中所有数据类:“数据类”是在泄露中受损的记录的属性。例如,许多违规行为暴露了“电子邮件地址”和“密码”等数据类。该服务返回的值在字符串数组中按字母顺序排列,并且随着新的漏洞暴露以前未见过的数据类别,该值将随着时间的推移而扩展。

电子邮件地址数据泄露检查的核心优势是什么?

  1. 及时性:用户可以迅速了解其电子邮件地址或密码是否出现在最近的数据泄露事件中,从而及时采取措施。

  2. 全面性:该API覆盖了大量的数据泄露事件,提供了广泛的数据来源,确保检查结果的全面性和准确性。

  3. 易于集成:该API接口设计简单,易于开发者集成到现有的应用程序中,从而为用户提供额外的安全功能。

  4. 可靠性:提供高可靠性的数据检查服务,确保用户得到准确和可信的泄露信息。

在哪些场景会用到电子邮件地址数据泄露检查接口?

在线服务提供商:在线服务提供商可以在用户注册或登录时,自动检查用户的电子邮件地址是否出现在已知的数据泄露事件中。如果检测到泄露,可以提醒用户更改密码或采取其他安全措施。

 

个人安全管理:个人用户可以定期使用该API接口来检查其多个电子邮件地址和常用密码是否在数据泄露事件中被曝光,从而定期更新和管理其账户安全。

 

企业安全监控:当公司或组织需要确保内部员工或客户的电子邮件地址没有被黑客攻击或数据泄露时,使用此API接口可以定期检查电子邮件地址的安全性。通过实时监测潜在的数据泄露风险,企业能够提前采取措施,保护敏感信息。

 

<
使用指南
>

指定 API 版本

API 的第二个版本可以通过以下几种方式指定:

  1. 通过 URL

    • 直接在请求的 URL 中包含版本号。
    • 示例: GET https://haveibeenpwned.com/api/v2/{service}/{parameter}
  2. 通过 api-version 标头

    • 在请求头部中使用 api-version 字段来指定版本。
    • 示例: GET https://haveibeenpwned.com/api/{service}/{parameter 
    • 通过内容协商

      • 使用 Accept 请求头部来指定版本。
      • 示例:GET https://haveibeenpwned.com/api/{service}/{parameter} 2Accept: application/vnd.haveibeenpwned.v2+json

请注意,无论采用哪种方法,API 的所有实现都将得到支持。

用户代理

  • 对于 API 的每个请求,都必须包含 User-Agent 请求头部。
  • 示例:GET https://haveibeenpwned.com/api/{service}/{parameter} User-Agent: [your app name]
  • 如果缺少 User-Agent,将会收到 HTTP 403 错误响应。
  • 用户代理应该准确描述使用 API 的应用,以便在请求中能够清晰地识别它。

获取账户的所有违规行为

API 最常见的用途是返回与特定账户相关的所有数据泄露事件列表。账户参数是不区分大小写的,并且会移除前导和尾随空格。账户应该始终使用 URL 编码。

  • 通过 URL 版本:GET https://haveibeenpwned.com/api/v2/breachedaccount/{account}

  • 通过 api-version 标头:GET https://haveibeenpwned.com/api/breachedaccount/{account} api-version: 2

  • 通过内容协商:GET https://haveibeenpwned.com/api/breachedaccount/{account} Accept: application/vnd.haveibeenpwned.v2+json

如果您不需要完整的违规数据,并且希望减小响应的大小,可以请求截断违规实体,以便只返回名称属性(这将使响应大小减少大约 98%)。

详情参考:https://haveibeenpwned.com/API/v2

 

<
产品问答
>
?
什么是“违规”?数据从何而来?
“泄露”是指数据无意中暴露在易受攻击的系统中的事件,通常是由于访问控制不足或软件中的安全漏洞造成的。 HIBP 汇总违规行为,使人们能够评估其个人数据在何处被泄露。
?
用户密码是否存储在该网站中?
当来自数据泄露的电子邮件地址加载到网站时,不会加载相应的密码。与被盗地址搜索功能不同,被盗密码服务允许您检查单个密码是否曾在数据泄露中被发现。任何个人身份数据(例如电子邮件地址)旁边都不会存储密码,并且每个密码都经过 SHA-1 哈希处理(请阅读 Pwned Passwords 发布博客文章中选择 SHA-1 的原因。)当来自数据泄露的电子邮件地址加载到网站时,不会加载相应的密码。与被盗地址搜索功能不同,被盗密码服务允许您检查单个密码是否曾在数据泄露中被发现。任何个人身份数据(例如电子邮件地址)旁边都不会存储密码,并且每个密码都经过 SHA-1 哈希处理(请阅读 Pwned Passwords 发布博客文章中选择 SHA-1 的原因。)
?
我可以向用户发送暴露的密码吗?
不。任何向人们发送密码的能力都会使他们和我自己面临更大的风险。该主题在博客文章中详细讨论了我不通过此服务提供密码的所有原因。
?
是否有每个人的电子邮件地址或用户名的列表?
公共搜索工具只能一次返回单个用户提供的电子邮件地址或用户名的结果之外的任何内容。域搜索功能可以检索多个被破坏的帐户,但前提是成功验证执行搜索的人员有权访问域上的资产。公共搜索工具只能一次返回单个用户提供的电子邮件地址或用户名的结果之外的任何内容。域搜索功能可以检索多个被破坏的帐户,但前提是成功验证执行搜索的人员有权访问域上的资产。
?
密码未泄露的违规行为又如何呢?
有时,系统中会添加不包含在线服务凭据的漏洞。当有关个人的数据被泄露且可能不包括用户名和密码时,可能会发生这种情况。然而,这些数据仍然具有隐私影响;这些数据是受影响的人不会合理期望公开发布的,因此他们有能力被告知这一点,这符合他们的既得利益。
?
如何验证违规行为是否合法?
攻击者经常宣布“违规”,而这些“违规”又被揭露为恶作剧。在尽早搜索数据和进行充分的尽职调查以确定违规行为的合法性之间需要取得平衡。通常会执行以下活动来验证违规合法性: 受影响的服务是否公开承认了违规行为? 泄露中的数据是否出现在 Google 搜索中(即,它只是从其他来源复制的)? 数据结构与您期望在泄露中看到的结构一致吗? 攻击者是否提供了足够的证据来证明攻击向量? 攻击者是否有可靠地发布违规行为或伪造违规行为的记录?攻击者经常宣布“违规”,而这些“违规”又被揭露为恶作剧。在尽早搜索数据和进行充分的尽职调查以确定违规行为的合法性之间需要取得平衡。通常会执行以下活动来验证违规合法性: 受影响的服务是否公开承认了违规行为? 泄露中的数据是否出现在 Google 搜索中(即,它只是从其他来源复制的)? 数据结构与您期望在泄露中看到的结构一致吗? 攻击者是否提供了足够的证据来证明攻击向量? 攻击者是否有可靠地发布违规行为或伪造违规行为的记录?
<
关于我们
>
我们提供了强大的数据泄露监测和电子邮件安全检查服务,旨在帮助用户和企业及时识别潜在的网络威胁。通过我们的API接口,用户可以方便地查询自己的电子邮件地址是否被泄露,获取详细的风险信息。我们致力于为全球用户提供可靠的数据保护解决方案,确保他们的个人信息免受恶意攻击。无论是企业还是个人用户,都可以通过使用我们的服务,增强对数据安全的信任与防护。
联系信息
服务时间: 00:00:00至24:00:00
网页在线客服: 咨询

该网站是关于什么的?
该网站是在 Adob​​e 发生了当时有史以来最大规模的一次客户帐户泄露事件之后诞生的。我经常对用户凭据进行泄露后分析,并不断发现相同的帐户一遍又一遍地暴露,并且通常使用相同的密码,这使得受害者的其他帐户面临进一步被泄露的风险。

为什么要建网站?
这个网站对我来说有两个主要目的:首先,它显然为公众提供服务。数据泄露十分猖獗,许多人并没有意识到它们发生的规模和频率。通过在这里汇总数据,我希望它不仅可以帮助受害者了解其帐户受到的损害,还可以突显当今互联网上在线攻击风险的严重性。

其次,该网站为我提供了一个很好的用例,可以让我测试许多技术并保持我的实践技能在一定程度上与时俱进。像这样的项目是保持相关性的绝佳方式,因为我的日常工作越来越关注软件管理,而不是实际构建东西(我碰巧喜欢这样做!)这是一次非常充实的旅程,我邀请了其他人加入我通过经常在博客上深入了解该过程,我打算继续保持下去,因为该网站不可避免地会随着时间的推移而发展。

<
最可能同场景使用的其他API
>
API接口列表
<
使用指南
>

指定 API 版本

API 的第二个版本可以通过以下几种方式指定:

  1. 通过 URL

    • 直接在请求的 URL 中包含版本号。
    • 示例: GET https://haveibeenpwned.com/api/v2/{service}/{parameter}
  2. 通过 api-version 标头

    • 在请求头部中使用 api-version 字段来指定版本。
    • 示例: GET https://haveibeenpwned.com/api/{service}/{parameter 
    • 通过内容协商

      • 使用 Accept 请求头部来指定版本。
      • 示例:GET https://haveibeenpwned.com/api/{service}/{parameter} 2Accept: application/vnd.haveibeenpwned.v2+json

请注意,无论采用哪种方法,API 的所有实现都将得到支持。

用户代理

  • 对于 API 的每个请求,都必须包含 User-Agent 请求头部。
  • 示例:GET https://haveibeenpwned.com/api/{service}/{parameter} User-Agent: [your app name]
  • 如果缺少 User-Agent,将会收到 HTTP 403 错误响应。
  • 用户代理应该准确描述使用 API 的应用,以便在请求中能够清晰地识别它。

获取账户的所有违规行为

API 最常见的用途是返回与特定账户相关的所有数据泄露事件列表。账户参数是不区分大小写的,并且会移除前导和尾随空格。账户应该始终使用 URL 编码。

  • 通过 URL 版本:GET https://haveibeenpwned.com/api/v2/breachedaccount/{account}

  • 通过 api-version 标头:GET https://haveibeenpwned.com/api/breachedaccount/{account} api-version: 2

  • 通过内容协商:GET https://haveibeenpwned.com/api/breachedaccount/{account} Accept: application/vnd.haveibeenpwned.v2+json

如果您不需要完整的违规数据,并且希望减小响应的大小,可以请求截断违规实体,以便只返回名称属性(这将使响应大小减少大约 98%)。

详情参考:https://haveibeenpwned.com/API/v2

 

<
依赖服务
>
<
产品问答
>
?
什么是“违规”?数据从何而来?
“泄露”是指数据无意中暴露在易受攻击的系统中的事件,通常是由于访问控制不足或软件中的安全漏洞造成的。 HIBP 汇总违规行为,使人们能够评估其个人数据在何处被泄露。
?
用户密码是否存储在该网站中?
当来自数据泄露的电子邮件地址加载到网站时,不会加载相应的密码。与被盗地址搜索功能不同,被盗密码服务允许您检查单个密码是否曾在数据泄露中被发现。任何个人身份数据(例如电子邮件地址)旁边都不会存储密码,并且每个密码都经过 SHA-1 哈希处理(请阅读 Pwned Passwords 发布博客文章中选择 SHA-1 的原因。)当来自数据泄露的电子邮件地址加载到网站时,不会加载相应的密码。与被盗地址搜索功能不同,被盗密码服务允许您检查单个密码是否曾在数据泄露中被发现。任何个人身份数据(例如电子邮件地址)旁边都不会存储密码,并且每个密码都经过 SHA-1 哈希处理(请阅读 Pwned Passwords 发布博客文章中选择 SHA-1 的原因。)
?
我可以向用户发送暴露的密码吗?
不。任何向人们发送密码的能力都会使他们和我自己面临更大的风险。该主题在博客文章中详细讨论了我不通过此服务提供密码的所有原因。
?
是否有每个人的电子邮件地址或用户名的列表?
公共搜索工具只能一次返回单个用户提供的电子邮件地址或用户名的结果之外的任何内容。域搜索功能可以检索多个被破坏的帐户,但前提是成功验证执行搜索的人员有权访问域上的资产。公共搜索工具只能一次返回单个用户提供的电子邮件地址或用户名的结果之外的任何内容。域搜索功能可以检索多个被破坏的帐户,但前提是成功验证执行搜索的人员有权访问域上的资产。
?
密码未泄露的违规行为又如何呢?
有时,系统中会添加不包含在线服务凭据的漏洞。当有关个人的数据被泄露且可能不包括用户名和密码时,可能会发生这种情况。然而,这些数据仍然具有隐私影响;这些数据是受影响的人不会合理期望公开发布的,因此他们有能力被告知这一点,这符合他们的既得利益。
?
如何验证违规行为是否合法?
攻击者经常宣布“违规”,而这些“违规”又被揭露为恶作剧。在尽早搜索数据和进行充分的尽职调查以确定违规行为的合法性之间需要取得平衡。通常会执行以下活动来验证违规合法性: 受影响的服务是否公开承认了违规行为? 泄露中的数据是否出现在 Google 搜索中(即,它只是从其他来源复制的)? 数据结构与您期望在泄露中看到的结构一致吗? 攻击者是否提供了足够的证据来证明攻击向量? 攻击者是否有可靠地发布违规行为或伪造违规行为的记录?攻击者经常宣布“违规”,而这些“违规”又被揭露为恶作剧。在尽早搜索数据和进行充分的尽职调查以确定违规行为的合法性之间需要取得平衡。通常会执行以下活动来验证违规合法性: 受影响的服务是否公开承认了违规行为? 泄露中的数据是否出现在 Google 搜索中(即,它只是从其他来源复制的)? 数据结构与您期望在泄露中看到的结构一致吗? 攻击者是否提供了足够的证据来证明攻击向量? 攻击者是否有可靠地发布违规行为或伪造违规行为的记录?
<
关于我们
>
我们提供了强大的数据泄露监测和电子邮件安全检查服务,旨在帮助用户和企业及时识别潜在的网络威胁。通过我们的API接口,用户可以方便地查询自己的电子邮件地址是否被泄露,获取详细的风险信息。我们致力于为全球用户提供可靠的数据保护解决方案,确保他们的个人信息免受恶意攻击。无论是企业还是个人用户,都可以通过使用我们的服务,增强对数据安全的信任与防护。
联系信息
服务时间: 00:00:00至24:00:00
网页在线客服: 咨询

该网站是关于什么的?
该网站是在 Adob​​e 发生了当时有史以来最大规模的一次客户帐户泄露事件之后诞生的。我经常对用户凭据进行泄露后分析,并不断发现相同的帐户一遍又一遍地暴露,并且通常使用相同的密码,这使得受害者的其他帐户面临进一步被泄露的风险。

为什么要建网站?
这个网站对我来说有两个主要目的:首先,它显然为公众提供服务。数据泄露十分猖獗,许多人并没有意识到它们发生的规模和频率。通过在这里汇总数据,我希望它不仅可以帮助受害者了解其帐户受到的损害,还可以突显当今互联网上在线攻击风险的严重性。

其次,该网站为我提供了一个很好的用例,可以让我测试许多技术并保持我的实践技能在一定程度上与时俱进。像这样的项目是保持相关性的绝佳方式,因为我的日常工作越来越关注软件管理,而不是实际构建东西(我碰巧喜欢这样做!)这是一次非常充实的旅程,我邀请了其他人加入我通过经常在博客上深入了解该过程,我打算继续保持下去,因为该网站不可避免地会随着时间的推移而发展。

<
最可能同场景使用的其他API
>