Comment puis-je être pwned si je ne suis pas inscrit sur le site compromis?
J'ai récemment reçu un courriel de HaveIBeenPwned.com (sur lequel je suis inscrit) au sujet du site Web/de l'outil ShareThis (non signé).
Je n'ai aucun souvenir de m'être inscrit à ce service.
Quand je vais récupérer le compte (je ferais aussi bien de fermer/changer de mot de passe), j'obtiens ceci:
Les deux faits semblent s'exclure mutuellement:
Soit j'avais un compte et il était en attente, soit je n'avais pas de compte (et donc HIBP est en erreur)?
Comment puis-je connaître la situation réelle et quelle est la ligne de conduite la plus sûre?
De la FAQ :
Pourquoi est-ce que je vois mon adresse e-mail comme violée sur un service auquel je ne me suis jamais inscrit?
Lorsque vous recherchez une adresse e-mail, vous pouvez voir cette adresse apparaître contre les violations de sites auxquels vous ne vous souvenez jamais vous être inscrit. Il existe de nombreuses raisons possibles à cela, notamment vos données ayant été acquises par un autre service, le service se renommant en quelque chose d'autre ou quelqu'un d'autre vous inscrivant. Pour une vue d'ensemble plus complète, voir Pourquoi suis-je dans une violation de données pour un site auquel je ne me suis jamais inscrit?
Il est probable que certains services permettent de s'inscrire sans confirmer une adresse e-mail, ou que les comptes qui n'ont pas confirmé les adresses e-mail soient toujours stockés indéfiniment mais ne peuvent pas être connectés à, ou un certain nombre de problèmes similaires.
En plus de ce qu'a dit AndrolGenhald, ils ont désactivé tous les comptes associés à la violation, il y a donc de bonnes chances qu'elle n'apparaisse pas:
ShareThis a déjà désactivé les comptes ShareThis potentiellement associés à cet incident, donc si vous avez créé un compte avant janvier 2017, vous ne pourrez plus vous connecter.
Alors que d'autres contributeurs ont répondu avec d'excellentes réponses, je vais me concentrer sur la dernière partie de votre question:
Comment puis-je connaître la situation réelle et quelle est la ligne de conduite la plus sûre?
Troy Hunt, un éminent chercheur en sécurité a lancé HIBP dans le but de regrouper toutes les bases de données divulguées dans une application Web où les utilisateurs peuvent rechercher leurs adresses e-mail compromises.
Ce qu'il a commencé a parcouru un long chemin et maintenant il existe de nombreux autres sites Web qui proposent non seulement la recherche par e-mail, mais permettent à quiconque de télécharger gratuitement l'ensemble complet des données divulguées.
Je connais les trois suivants qui vous permettent de télécharger les fichiers de vidage complets et d'obtenir la source de la vérité, au lieu de compter uniquement sur HIBP qui n'offre pas beaucoup d'informations en raison des lois sur la confidentialité et d'autres choses:
Un peu en retard sur ce sujet, mais je viens de recevoir une alerte par le biais de ma carte de crédit au sujet de la rupture de partage. Je ne me suis jamais inscrit à sharethis, mais une recherche rapide dans mes anciens e-mails a trouvé quelques cas de personnes utilisant le service pour partager un article avec moi. Je suppose donc que la base de données d'adresses e-mail des personnes à l'extrémité réceptrice du service a également été exposée .. ce qui expliquerait pourquoi il n'y a pas eu de fuite de mot de passe hachée associée à mon adresse.