En 2013, comencé a darme cuenta de que las filtraciones de datos privados se estaban volviendo ubicuas. De hecho, tales casos se han vuelto más frecuentes. Y la influencia de estas filtraciones en sus víctimas, incluido yo, ha aumentado. Cada vez más, escribí en un blog sobre este tema, que parecía ser un segmento fascinante de la industria de la seguridad de la información: cómo la reutilización de las contraseñas en Gawker y Twitter condujo a un spam masivo de arándanos en Twitter , y que las contraseñas de los usuarios de Sony Pictures resultaron ser realmente tan malas como sea posible esperar de estas personas , pero maldita sea, todavía es impactante ver su contraseña en esta base de datos con fugas. Al mismo tiempo, el 59% de las contraseñas de la base de datos de Sony coincidió con las contraseñas de los buzones de Yahoo .

Alrededor de ese tiempo, Adobe estaba filtrando datos, y me hizo realmente interesado en este segmento de la industria, sobre todo porque estaba en esa base de datos. Dos veces Lo más importante, contenía 153 millones de otras personas. Fue una fuga excepcionalmente masiva, incluso para los estándares actuales. Todo esto junto (tasa de fuga, análisis de mi base de datos y escala de Adobe) me hizo preguntarme: ¿cuántas personas saben? ¿Entienden que sus datos están disponibles públicamente? ¿Entienden cuántas veces ? Y, quizás lo más importante: ¿han cambiado su contraseña (sí, casi siempre la única) en otros servicios que utilizan? Y así nació el proyecto Have I Been Pwned (HIBP): encontrar sus contraseñas en muchas bases filtradas.

Permítanme hablar brevemente sobre los asuntos actuales del servicio. Hay casi 8 mil millones de registros en la base de datos, casi 3 millones de personas se registraron para recibir notificaciones, envié a la gente 7 millones de mensajes sobre la filtración de sus datos, otras 120 mil personas monitorearon dominios, hicieron 230 mil consultas de búsqueda y les envié otras 1 por correo, 1 millón de notificaciones. En un día normal, el sitio tiene 150,000 visitantes únicos, 10 millones en un día anormal, un par más de millones de visitas API y 10 millones de consultas de búsqueda. Pero ahora incluso se superan estos números:


Por cierto, el servicio tiene suscriptores comerciales que dependen de HIBP. Estas son una variedad de compañías que ya informan a sus clientes. Y hay gobiernos en todo el mundo que usan HIBP para proteger sus departamentos, agencias de aplicación de la ley que lo usan para sus investigaciones y todo tipo de otros usos que nunca he visto o incluso imaginado . Y hoy, cada línea de código, cada configuración y cada cuenta filtrada es procesada por mí personalmente. No hay un "equipo HIBP", hay un tipo que lo mantiene a flote.




Cuando necesitaba infografías para explicar la arquitectura, me senté e hice todo por mí mismo . Yo mismo encontré el código fuente de cada logotipo de la empresa pirateada, lo corté, redimensioné y optimicé. Cada vez que divulgué información sobre cómo piratear una empresa que no lo sabía, tuve que acumular tantos problemas, y también me ocupé de eso (créanme, toma mucho tiempo y resultó ser el principal cuello de botella y el principal obstáculo para descargar nuevos datos). Cada entrevista en los medios de comunicación, cada solicitud de apoyo y, francamente, casi todo lo que puedas imaginar, fue hecha por una sola persona en su tiempo libre. Esto no es solo un problema de carga; Me hice cada vez más consciente del hecho de que me convertí en el único punto de fracaso. Y necesita ser cambiado.

Es hora de crecer

Fue una introducción larga, pero quería describir la situación para llegar al punto lógicamente: HIBP es hora de crecer. Es hora de pasar de un tipo que hace lo que puede, en su tiempo libre, a una estructura mejor financiada y con mejores recursos que puede hacer mucho más de lo que yo podría hacer por mi cuenta. Para comprender mejor por qué estoy escribiendo esto ahora, compartamos la imagen con Google Analytics:



El gráfico muestra 12 meses hasta el 18 de enero de este año, y el aumento corresponde a las cuentas de carga de la Colección # 1 . Esto también corresponde al día en que fui a Europa durante un par de semanas de conferencias de "negocios ordinarios", que fueron precedidas por varios días de conversaciones con mi hijo de 9 años y buenos amigos en una cabaña de madera en medio de las nieves noruegas. Fui bombardeado sin precedentes con correos electrónicos, tweets y llamadas telefónicas en todos los canales imaginables debido a la enorme atención que HIBP recibió en todo el mundo. Y apagué todos los artilugios, sentado junto a la pequeña chimenea, disfrutando de bebidas y una buena conversación. En ese momento, me di cuenta de que estaba muy cerca del agotamiento. Estoy bastante seguro de que aún no me he quemado, pero también me di cuenta de que puedo ver este momento en un futuro no muy lejano si no hago algunos cambios importantes en mi vida (me gustaría hablar de esto en el futuro, porque aquí hay algunas lecciones bastante importantes, pero ahora quiero establecer un contexto en relación con el tiempo y contar lo que sucederá después). Todo esto sucedió al mismo tiempo que viajé por el mundo, hablé en eventos, conduje seminarios e hice un millón de otras cosas para que la vida continuara.

Para ser completamente honesto, fue un año extremadamente ocupado. La atención adicional que HIBP comenzó a recibir en enero nunca volvió al nivel de 2018, simplemente continuó creciendo y creciendo. Hice varios cambios para adaptarme a la carga de trabajo. Quizás uno de los más obvios es la disminución masiva de la participación en las redes sociales, especialmente en Twitter:



Hasta diciembre del año pasado, tuiteé un promedio de 1,141 veces al mes (por alguna razón, la función de exportación no incluía mayo y junio de 2017 y solo la mitad de julio, por lo que omití estos meses en el gráfico). De febrero a mayo de este año, el número cayó a 315, es decir, desde enero rechacé las redes sociales en un 72%. Esto puede parecer un hecho frívolo, pero este es un número significativo que está directamente relacionado con el impacto en mi vida de atención a HIBP. Lo mismo si nos fijamos en las estadísticas de las publicaciones de blog. Religiosamente publiqué videos semanales, pero tuve que recortar todas las otras publicaciones técnicas que me encantó escribir en la última década.

Cuando regresé de este viaje, tuve conversaciones ocasionales con varias organizaciones que pensé que podrían estar interesadas en comprar HIBP. Estas fueron conversaciones en un ambiente confortable con conocidos, por lo que la situación no causó ningún estrés. Esta no es la primera vez que he tenido este tipo de conversaciones, ya lo he hecho varias veces cuando las organizaciones se pusieron en contacto y me preguntaron cuál era mi interés en la venta, pero esta fue la primera vez desde que la sobrecarga de administrar un servicio fue más allá horarios. Hubo un gran entusiasmo genuino, pero rápidamente me di cuenta de que cuando se trata de discusiones de este tipo, aquí soy un laico completo. Por supuesto, puedo procesar miles de millones de entradas con jailbreak y ejecutar solo servicios en línea que son utilizados por cientos de millones de personas, pero este es un juego completamente diferente. Es hora de pedir ayuda.

Proyecto Svalbard

En abril, durante una conversación regular con personas de KPMG sobre algunos asuntos financieros ordinarios (me reunía regularmente con consultores, ya que mi propia situación financiera se hacía más difícil ), sugirieron hablar con el personal de su departamento de fusiones y adquisiciones para encontrar un nuevo Inicio para HIBP. Fue conveniente para mí hacer esto: tenemos una relación a largo plazo y entienden no solo la esencia de HIBP, sino también otras cosas sensibles que hago constantemente en línea. Esta fue una decisión fácil: necesitaba ayuda, y tienen la experiencia adecuada y la experiencia adecuada.

Al conocer a estas personas, rápidamente quedó claro qué tipo de apoyo realmente necesitaba. Lo principal de lo que me di cuenta fue que nunca me tomé el tiempo para dar un paso atrás y ver qué hace realmente HIBP. Esto puede parecer extraño, pero dado que el proyecto ha crecido orgánicamente a lo largo de los años, y lo construí en respuesta a una combinación de necesidades urgentes, no encontré el tiempo para dar un paso atrás y dar una mirada holística a todo esto. Y no tuve tiempo suficiente para ver qué podía hacer. Más tarde volveré sobre este tema: cuántas oportunidades para hacer mucho más, y realmente necesito el apoyo de personas con experiencia en negocios.

Una de las primeras tareas fue idear el nombre del proyecto a la venta: aparentemente, así es como se hacen las cosas. Había muchas opciones terriblemente kitsch y muchas otras que dependían de palabras de moda, y luego pensé: ¿recuerdas este almacenamiento masivo de semillas más allá del Círculo Polar Ártico? Vi enlaces a él antes, y la idea de un gran depósito que almacena algo valioso para ayudar a la humanidad comenzó a resonar realmente. Resulta que este lugar se llama Svalbard (la Tienda Mundial de Semillas en Svalbard) y se ve así:



También resultó que estaba ubicado en Noruega, y todo esto en conjunto comenzó a sonar como un nombre propio, comenzando con la analogía obvia de almacenar una gran cantidad de "unidades". Hay un video genial filmado hace unos años que dice que World Warehouse tiene una capacidad de aproximadamente mil millones de semillas, no tantos registros como en HIBP, pero entiendes la idea. Entonces hay un nombre: es un poco extraño. Svalbard es difícil de pronunciar para aquellos que no están familiarizados con la palabra (aunque este video ayuda ), al igual que ... pwned. Y finalmente, Noruega es de gran importancia para mí: hace casi cinco años, mi primera actuación en el extranjero tuvo lugar allí. Hablé frente a una sala abarrotada, y cuando la audiencia se fue, cada uno de ellos arrojó una tarjeta de calificación verde en la caja.


Este fue un punto de inflexión en mi carrera. En enero de este año, estuve nuevamente en Noruega, cuando HIBP literalmente se volvió loco, como viste en la tabla anterior. Fue allí, en una pequeña cabaña de troncos en medio de la nieve, me di cuenta de que era hora de que HIBP creciera. Y por pura coincidencia, hoy estoy publicando este artículo nuevamente desde Noruega, después de haber venido a NDC Oslo por sexto año consecutivo. Como puede ver, Svalbard es un buen nombre.

Mi compromiso con el futuro de HIBP

Entonces, ¿qué significa si otra compañía adquiere HIBP? Honestamente, no sé exactamente cómo se verá, así que compartamos abiertamente mis pensamientos por hoy, y hay algunos puntos realmente importantes que quiero enfatizar:

1. La búsqueda de usuarios debe permanecer libre . El servicio fue tan exitoso porque garanticé la ausencia de barreras para las personas que buscan sus datos. Y absolutamente quiero que siga así. Por lo tanto, este artículo va en el número 1.
   
2. Seguiré siendo parte de la HIBP . Tengo la intención de formar parte de la transacción, es decir, la empresa me recibirá junto con el proyecto. La marca HIBP está indisolublemente unida a la mía, y debo quedarme ahora.
   
3. Quiero implementar de manera competente muchas más funciones . Hay toneladas de cosas que quiero hacer con HIBP, y simplemente no podría hacerlo yo mismo. Este es un proyecto con un enorme potencial más allá de lo que ya se ha logrado, y tengo la intención de hacerlo.
   
4. Quiero llegar a un público mucho mayor que ahora . Ahora la audiencia es enorme, pero aún así, solo se trata de un pequeño grupo de usuarios que necesitan estar informados sobre las filtraciones de sus datos personales.
   
5. Se puede hacer mucho más para cambiar el comportamiento del consumidor . El secuestro automático de cuenta ( relleno de credenciales ) es un gran problema en este momento, y solo existe debido a la reutilización de la contraseña. Quiero que HIBP juegue un papel mucho más importante en cambiar la forma en que las personas administran sus cuentas.
   
6. Las organizaciones pueden beneficiarse mucho más de HIBP . Siguiendo el párrafo anterior, los servicios de usuario pueden proteger a sus clientes mucho mejor de esta forma de ataque, y los datos de HIBP pueden desempeñar un papel importante (y algunas organizaciones ya aprovechan esta oportunidad).
   
7. Debería haber más apertura y más datos . Ya he mencionado cuán onerosa es la responsabilidad de revelar el hecho de piratear, y Svalbard hace posible solucionarlo. Un montón de organizaciones no saben que fueron pirateadas, simplemente porque no tuve tiempo para lidiar con todo esto.

Tengo una comprensión clara de qué organizaciones específicas pueden ayudar con estos puntos. También hay un segundo grupo, al que respeto mucho, pero que están peor equipados para ayudar a lograrlo. A medida que se desarrolla el proceso, KPMG ayudará a determinar más claramente qué organizaciones entran en la primera categoría. Estoy seguro de que puede imaginarse que hay discusiones muy serias: cómo HIBP encajará en la compañía, cómo me ayudarán a lograr estos objetivos y si esta compañía es adecuada para un servicio tan valioso como HIBP. Tengo algunas consideraciones personales importantes, que incluyen con quién me siento cómodo trabajando, un horario gratuito y, por supuesto, el aspecto financiero. Para ser honesto, es igualmente desafiante y emocionante.

Antes de publicar este artículo, contacté a todas las partes interesadas que pueden ser relevantes para el proyecto Svalbard. Le expliqué mis motivos y mi punto de vista sobre el futuro de HIBP: que el proyecto no solo debería ser más confiable, sino también fortalecer significativamente su influencia en la situación con fugas masivas de datos. Esto ya ha llevado a discusiones realmente productivas con organizaciones que podrían ayudar a HIBP a tener un impacto mucho más positivo en la industria. Hubo gran entusiasmo y apoyo para este proceso, lo cual es alentador.

Usted puede preguntar, ¿por qué no registrar una empresa comercial y simplemente no contratar personas? Por supuesto, tuve la oportunidad de financiar la compañía por mi cuenta o por medio de varios capitalistas de riesgo que me llamaron durante muchos años. Pero no lo hice, porque una empresa comercial aumenta significativamente mis responsabilidades, mientras que necesitaba lo contrario. A partir de este día no pude irme por una semana, y si tratara de desconectarme incluso por un día, me preocuparía constantemente de perder algo importante. Con el tiempo, la creación de una empresa puede permitirme relajarme, pero solo después de invertir una cantidad significativa de tiempo (y dinero), y esto no es lo que se necesita en este momento.

Resumen

Estoy extremadamente entusiasmado con el potencial del proyecto Svalbard. En estas primeras conversaciones con otras organizaciones, ya estoy empezando a ver cómo aparecen los esquemas de una mejor gestión de todo el ecosistema en el área de las filtraciones de datos. Imagine un futuro en el que pueda recibir y procesar muchos más datos, contactarme activamente con las organizaciones afectadas, ayudarlas en el proceso de resolución del incidente, ayudar a usuarios como usted y a mí a comprender mejor lo que está sucediendo (y qué hacer al respecto) y, en Finalmente, reduzca el daño de tales filtraciones a organizaciones y usuarios. Y esto va mucho más allá, porque después de la filtración puedes hacer mucho más, especialmente en la lucha contra ataques como el secuestro automático de cuentas a la alta velocidad que vemos en estos días. Estoy realmente satisfecho con el éxito de HIBP, pero hasta ahora esto es solo la punta del iceberg.

Tomé esta decisión cuando tengo control total sobre el proceso. No estoy bajo ningún tipo de presión (excepto por una gran carga de trabajo, por supuesto), y tengo tiempo para buscar al comprador para seguir su curso y encontrar el mejor candidato para el proyecto. Y como siempre con HIBP, continúo haciendo todo con total transparencia, describiendo este proceso en detalle aquí. Realmente reconozco la confianza de los usuarios y todos los días me recuerdan la responsabilidad que conlleva esta confianza.

HIBP tiene menos de seis años, pero es la culminación del trabajo de toda mi vida. Todavía recuerdo vívidamente el comienzo de los años 90, cuando comencé a crear software para Internet y soñé con crear algo grande: "¿No es sorprendente que me siente aquí en casa y escriba código que algún día pueda tener un impacto real en todo el mundo? Tuve algunos comienzos falsos y tomó una combinación de factores para hacer que HIBP sea lo que es hoy, y eso es exactamente lo que esperaba. El proyecto Svalbard es la realización de este sueño, y estoy extremadamente entusiasmado con las oportunidades que surgirán como resultado.