Cómo me han convertido Pwned se convirtió en el guardián de las mayores violaciones de datos en Internet – TechCrunch


Cuando comenzó Troy Hunt ¿He sido acusado a fines de 2013, quería que se respondiera una pregunta simple: fue víctima de una violación de datos?

Siete años después, el servicio de notificación de violación de datos ejecuta miles de solicitudes todos los días de los usuarios que están verificando si sus datos han sido comprometidos o marcados por los cientos de violaciones de datos en la base de datos, incluidas algunas de las violaciones más grandes en historia. A medida que ha crecido y ahora está justo debajo de la marca de los 10 mil millones de registros rotos, la respuesta a la pregunta original de Hunt es más clara.

"Es muy probable que sea empíricamente", me dijo Hunt desde su casa en la Gold Coast de Australia. "Para aquellos de nosotros que hemos estado en Internet por un tiempo, es casi seguro".

Lo que comenzó como el proyecto favorito de Hunt para aprender los conceptos básicos de la nube de Microsoft rápidamente se hizo popular . En parte por su facilidad de uso, pero principalmente por la curiosidad del individuo.

A medida que el servicio creció, Have I Been Pwned asumió un rol de seguridad más proactivo al permitir que los navegadores y los administradores de contraseñas hornearan Pwned en un canal secundario para advertir a Pwned de usar contraseñas previamente violadas en su base de datos . Fue un paso que también sirvió como un flujo de ingresos crítico para mantener bajos los costos de funcionamiento del sitio.

Sin embargo, el éxito de Have I Been Pwned debería atribuirse casi exclusivamente a Hunt, tanto como el fundador y como el único empleado, una banda de un solo hombre que opera una startup poco convencional que, a pesar de su tamaño y recursos limitados, obtiene ganancias.

A medida que la carga de trabajo necesaria para soportar Have I Been Pwned se disparó, Hunt dijo que la tensión de hacer el trabajo sin ayuda tuvo su efecto. Había un plan de escape: Hunt puso el sitio a la venta. Pero después de un año turbulento, regresó a donde comenzó.

Antes del próximo hito importante de 10 mil millones, Have I Been Pwned no muestra signos de desaceleración.

& # 39; madre de todas las violaciones & # 39;

] Mucho antes de ser acusado, Hunt no era ajeno a las violaciones de datos.

Para 2011, se había ganado la reputación de recopilar y analizar pequeñas, por ese tiempo, brechas de datos y blogs sobre sus resultados. Sus análisis detallados y metódicos mostraron repetidamente que los usuarios de Internet usaban las mismas contraseñas de un sitio a otro. Cuando se violaba un sitio, los hackers ya tenían la misma contraseña para las otras cuentas en línea de un usuario.

Luego vino la violación de Adobe, la "madre de todas las violaciones", como Hunt lo describió en ese momento: más de 150 millones de cuentas de usuarios habían sido robadas y estaban pendientes en Internet.

Hunt recibió una copia de los datos y, con un puñado de otras violaciones que ya había recopilado, la cargó en una base de datos en la que se podía buscar la dirección de correo electrónico de una persona que Hunt consideraba el denominador más común para todos los registros que fueron violados.

¿Y nací?

La base de datos no tardó mucho en hincharse. Los datos de Sony, Snapchat y Yahoo pronto siguieron, recolectando millones de registros más en su base de datos. Pronto identifiqué el punto focal para comprobar si había resultado herido. Los programas de noticias matutinas volarían su dirección web, lo que resultaría en un gran aumento de usuarios, a veces lo suficiente como para desconectar el sitio web por un corto tiempo. Desde entonces, Hunt ha agregado algunas de las violaciones más grandes en la historia de Internet: MySpace, Zynga, Adult Friend Finder y varias listas grandes de spam.

A medida que crecía en tamaño y reconocimiento, Hunt seguía siendo su único propietario, responsable de todo, desde organizar y cargar datos a la base de datos, y decidir cómo debería funcionar el sitio web, incluida su ética.

Hunt adopta un enfoque de "qué creo que tiene sentido" para manejar la información personal de otras personas. Sin nada parecido, no tuve que escribir las reglas sobre cómo maneja y procesa tantos datos sobre violaciones, muchas de las cuales son muy sensibles. No afirma tener todas las respuestas, pero se basa en la transparencia para explicar sus razones y describir sus decisiones en largas publicaciones de blog.

Su decisión de dejar que los usuarios solo busquen su dirección de correo electrónico tiene sentido lógico, dependiendo del sitio web. En ese momento, era solo una misión decirle a un usuario si estaba herido. También fue una decisión que se centró en la privacidad del usuario y ayudó a hacer que el servicio esté preparado para el futuro contra algunos de los datos más sensibles y dañinos que luego recibiría.

En 2015, Hunt recibió la lesión de Ashley Madison. Millones de personas tenían cuentas en el sitio web, lo que animaba a los usuarios a tener una aventura. La violación llegó a los titulares, primero por la violación y nuevamente cuando varios usuarios murieron por suicidio.

El truco de Ashley Madison fue uno de los más delicados que entraron en Have I Been Pwned, y finalmente cambió el enfoque de Hunt sobre las violaciones de datos de preferencias sexuales y otra información personal sobre las personas. (Foto AP / Lee Jin-man, Archivo)

Hunt se desvía de su enfoque habitual y es muy consciente de sus sensibilidades. La lesión fue indudablemente diferente. Contó la historia de una persona que le contó cómo su iglesia local publicó una lista de los nombres de todas las personas de la ciudad que estuvieron involucradas en la violación de datos.

"Es claramente un juicio moral", dijo, refiriéndose a la ruptura. "No quiero que me engañen para que esto sea posible".

A diferencia de las violaciones anteriores menos sensibles, Hunt decidió que no permitiría que nadie buscara los datos. En cambio, ha desarrollado una nueva característica que permite a los usuarios que han verificado sus direcciones de correo electrónico determinar si son más sensibles a las violaciones.

"Los propósitos para las personas involucradas en esta violación de datos fueron mucho más matizados de lo esperado", dijo Hunt. Un usuario le dijo que estaba allí después de una ruptura dolorosa y que se había vuelto a casar desde entonces, pero luego se convirtió en adúltero Otra dijo que había creado una cuenta para reparar a su esposo sospechoso de fraude.

"Hay un punto en el que la búsqueda pública es un riesgo indebido para las personas, y estoy haciendo un juicio al respecto ", dijo.

La violación de Ashely Madison confirmó su visión de almacenar la menor cantidad de datos posible. Hunt a menudo intercepta correos electrónicos de las víctimas de violaciones de datos pidiendo sus datos, pero se niega a hacerlo cada vez.

"Realmente no habría servido a mi propósito cargar toda la información personal en Have I Been Pwned y dejar que la gente busque su número de teléfono su sexualidad o lo que haya sido expuesto en varias violaciones de datos ", dijo Hunt.

"Si me pwned pwned, son solo direcciones de correo electrónico", dijo. "No quiero que esto suceda, pero es una situación muy diferente cuando hay contraseñas, por ejemplo".

Pero estas contraseñas restantes no se han perdido. Hunt también permite a los usuarios buscar más de medio billón de contraseñas independientes para ver si una de sus contraseñas terminó en Have I Been Pwned.

Todos, incluidas las empresas de tecnología, pueden acceder a este tesoro de contraseñas Pwned. él lo llama. Los fabricantes de navegadores y los administradores de contraseñas como Mozilla y 1Password tienen acceso incorporado a las contraseñas Pwned para evitar que los usuarios utilicen una contraseña previamente rota y vulnerable. Los gobiernos occidentales, incluidos el Reino Unido y Australia, también dependen de Have I Been Pwned para ser monitoreados por violaciones de identificación del gobierno, que Hunt también ofrece de forma gratuita.

"Se está validando enormemente", dijo. "Los gobiernos tratan principalmente de hacer cosas para garantizar la seguridad de los países y las personas: trabajan bajo un estrés extremo y no se les paga mucho", dijo.

"Hubo servicios similares que surgieron. Fueron con fines de lucro y fueron acusados".
Troy Hunt

Hunt reconoce que Have I Been Pwned, tan abierto y transparente, es el núcleo de lo que hace, viviendo en un purgatorio en línea en todas las demás circunstancias, especialmente en una empresa minorista, se ahogaría en obstáculos regulatorios y burocracia, y aunque las empresas cuyos datos Hunt carga en su base de datos probablemente preferirían algo más, Hunt me dijo que nunca recibió una amenaza legal para ejecutar el servicio.

"Me gustaría creer que Have I Been Pwned está muy lejos – lado legítimo de las cosas", dijo.

Otros que lo han intentado Repetir el éxito de Have I Been Pwned no fue tan afortunado.

"Surgieron servicios similares", dijo Hunt. "Eran lucrativos y se les cobraba", dijo e r.

LeakedSource fue durante un tiempo uno de los mayores vendedores de datos de seguridad en Internet. Lo sé porque mis informes han roto algunos de sus mayores problemas: el servicio de transmisión de música Last.fm, el sitio web AdultFriendFinder para adultos y el gigante ruso de Internet Rambler.ru, por nombrar solo algunos. Sin embargo, lo que llamó la atención de las autoridades federales fue que LeakedSource, cuyo operador luego se declaró culpable de comerciar con información de robo de identidad, vendió indiscriminadamente el acceso a los datos de otras violaciones.

“Existe un caso muy legítimo para que un servicio brinde a las personas acceso a sus datos a un precio. "

Hunt dijo que" dormiría bien "y cobraría a los usuarios una tarifa por acceder a sus datos. "Simplemente no quiero ser responsable si las cosas salen mal", dijo.

Proyecto Svalbard

Cinco años después de "Me pwned" Hunt pudo sentir el agotamiento.

"Podría ver un punto en el que estaría si no cambiara nada", me dijo. "Realmente sentí que algo tenía que cambiar para la sostenibilidad del proyecto".

Dijo que pasó una fracción de su tiempo en el proyecto más de la mitad, y además de su malabarismo diario: recopilar, organizar, deduplicar y cargar grandes cantidades de datos, Hunt era responsable de todo el mantenimiento de la oficina administrativa del sitio, además de sus propias responsabilidades. – su contabilidad e impuestos.

El plan para vender Have I Been Pwned tenía el nombre en clave de Project Svalbard, llamado así por la bóveda de semillas noruega con la cual Hunt Have I Been Pwned comparó, una gran cantidad de "algo valioso para ellos". Mejorando la humanidad ", escribió, anunciando la venta en junio de 2019. No sería una tarea fácil.

Hunt dijo que la venta estaba destinada a servir al futuro del servicio hacer copias de seguridad. También fue una decisión que tuvo que asegurar la suya. "Ellos no compran que yo haya Pwned, ellos me compran", dijo Hunt. "Simplemente no hay trato sin mí". En su publicación de blog, Hunt habló de su deseo de expandir el servicio y llegar a un público más amplio. Pero, me dijo, no se trataba del dinero.

Como administrador único, Hunt dijo que mientras pagara las facturas, habría seguido viviendo. "Pero no había un modelo de supervivencia", admitió. "Solo soy una persona que hace esto".

Al vender Have I Been Pwned, el objetivo era un modelo más sostenible que lo aliviara, y bromeó diciendo que el sitio web no colapsaría si fuera comido por un tiburón, una amenaza profesional para la vida en Australia.

Sobre todo, el comprador tenía que encajar perfectamente.

Hunt conoció a docenas de compradores potenciales y muchos en Silicon Valley. Sabía cómo se vería el comprador, pero aún no tenía nombre. Hunt quería asegurarse de que todos los que compraron Have I Been Pwned mantuvieran su reputación.

"Imagine una compañía que no respeta la información personal y solo abusaría de ella", dijo. "¿Qué hace eso por mí?" Algunos compradores potenciales fueron impulsados ​​por las ganancias. Hunt dijo que todas las ganancias eran "trabajos paralelos". Los compradores solo estaban interesados ​​en una tienda que mantuviera a Hunt fiel a su marca durante años y comprara exclusividad para su propio reconocimiento y trabajo futuro: ese es el valor de Have I Been Pwned.

Hunt estaba buscando un comprador con el que sabía que Have I Been Pwned estaría a salvo si ya no estaba involucrado. "Siempre fue un plan de varios años para transferir la confianza de la gente y la confianza en mí a otras organizaciones", dijo.

Hunt testifica ante el Subcomité de Energía de la Cámara en Capitol Hill en Washington el jueves 30 de noviembre de 2017. (Foto AP / Carolyn Kaster)

El proceso de revisión y la debida diligencia fueron "locos" Dijo Hunt. "Las cosas simplemente retrocedieron y retrocedieron", dijo. El proceso tomó meses. Hunt habló francamente sobre el estrés del año. "Rompí con mi esposa a principios del año pasado aproximadamente al mismo tiempo que [sale process]", dijo. Se divorciaron más tarde. "Puedes imaginar pasar por esto al mismo tiempo que la separación", dijo. "Fue extremadamente estresante".

Luego, casi un año después, Hunt anunció que la venta había fallado. Hunt no pudo discutir los detalles debido a los acuerdos de confidencialidad y escribió en una publicación de blog que el comprador con el que estaba firmando había hecho un cambio inesperado en su modelo de negocio que "hacía imposible el acuerdo".

"Fue una sorpresa para todos cuando no pasó", me dijo. Era el final de la calle.

En retrospectiva, Hunt afirma que era "lo correcto" irse. Pero la demanda lo dejó en primer lugar sin compradores, reduciendo personalmente cientos de miles de honorarios legales.

Después de un año sangriento para su vida futura y personal, Hunt se tomó el tiempo para recuperarse y subió después de un año ocupado para un horario normal. Entonces el virus corona golpeó. Australia experimentó la pandemia fácilmente en comparación internacional y levantó su cerradura después de una breve cuarentena.

Hunt dijo que seguiría corriendo. He empeñado. No era el resultado que quería o esperaba, pero Hunt dijo que no tenía planes inmediatos para venderlo nuevamente. Por el momento, es "lo de siempre", dijo.

Solo en junio, Hunt subió más de 102 millones de registros a la base de datos Have I Been Pwned. En términos relativos, fue un mes tranquilo.

"Hemos perdido el control de nuestros datos como individuos", dijo. Pero ni siquiera Hunt es inmune. Con casi 10 mil millones de registros, Hunt fue "pwned" más de 20 veces, dijo.

A principios de este año, Hunt descargó una gran cantidad de direcciones de correo electrónico de una base de datos de marketing, llamada "Lead Hunter", para alimentar alrededor de 68 millones de registros en I Have Pwned. Hunt dijo que alguien eliminó una gran cantidad de datos de registro de dominio web disponibles públicamente y lo convirtió en una base de datos masiva de spam. Pero alguien dejó esta base de datos de spam en un servidor público sin contraseña para que todos puedan encontrarla. Alguien lo hizo y compartió los datos con Hunt. Al igual que con cualquier otra violación, tomó los datos, los cargó en Have I Been Pwned y envió notificaciones por correo electrónico a los millones de suscriptores.

"Trabajo realizado", dijo. "Y luego recibí un correo electrónico de Have I Been Pwned diciendo que me pwned".

Se echó a reír. "Todavía estoy sorprendido de dónde me presento".

Historias relacionadas:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *