في عام 2013 ، بدأت أدرك أن تسريبات البيانات الخاصة أصبحت في كل مكان. في الواقع ، أصبحت مثل هذه الحالات أكثر تواترا. وزاد تأثير هذه التسريبات على ضحاياهم ، بمن فيهم أنا ،. على نحو متزايد ، كتبت على مدونة حول هذا الموضوع ، والتي بدا أنها جزء رائع من صناعة أمن المعلومات: كيف أدى إعادة استخدام كلمات المرور على Gawker و Twitter إلى ظهور رسائل غير مرغوب فيها عنبية على Twitter ، وأن كلمات مرور مستخدمي Sony Pictures أصبحت سيئة للغاية قدر الإمكان أن نتوقع من هؤلاء الناس ، ولكن لعنة ، لا يزال من الصعب رؤية كلمة المرور الخاصة بك في قاعدة البيانات المتسربة. في الوقت نفسه ، تزامن 59٪ من كلمات المرور من قاعدة بيانات Sony مع كلمات المرور من صناديق بريد Yahoo .

في ذلك الوقت تقريبًا ، كانت Adobe تسرّب البيانات ، مما جعلني مهتمًا حقًا بهذا القطاع الصناعي ، لأسباب ليس أقلها أنني كنت في قاعدة البيانات تلك. مرتين. الأهم من ذلك ، أنه يحتوي على 153 مليون شخص آخر. لقد كان تسربًا هائلاً بشكل استثنائي ، حتى وفقًا لمعايير اليوم. كل هذا - معدل التسرب وتحليل قاعدة البيانات الخاصة بي ومقياس أدوبي - جعلني أتساءل: أتساءل كم من الناس يعرفون؟ هل يفهمون أن بياناتهم متاحة للجمهور؟ هل يفهمون كم مرة ؟ وربما الأهم من ذلك: هل قاموا بتغيير كلمة المرور الخاصة بهم (نعم ، دائمًا ما تكون كلمة المرور الوحيدة) في الخدمات الأخرى التي يستخدمونها؟ وهكذا وُلد مشروع Have I I Pwned (HIBP): العثور على كلمات المرور الخاصة بك في الكثير من القواعد المتسربة.

اسمحوا لي أن أتحدث بإيجاز عن الشؤون الحالية للخدمة. هناك ما يقرب من 8 مليارات سجل في قاعدة البيانات ، ما يقرب من 3 ملايين شخص اشتركوا في الإشعارات ، لقد أرسلت للناس 7 ملايين رسالة حول تسرب بياناتهم ، و 120 ألف شخص آخر من مجالات المراقبة ، قاموا بإجراء 230 ألف استفسار بحث وأرسلت إليهم 1 أخرى بالبريد ، 1 مليون الإخطارات. في اليوم العادي ، يوجد بالموقع 150،000 زائر فريد ، و 10 مليون زائر في يوم غير طبيعي ، وعدد قليل من الزيارات بلغة API و 10 ملايين استعلامات بحث. ولكن الآن يتم تجاوز هذه الأرقام:


بالمناسبة ، تحتوي الخدمة على مشتركين تجاريين يعتمدون على HIBP. هذه هي مجموعة متنوعة من الشركات التي أبلغت عملائها بالفعل. وهناك حكومات في جميع أنحاء العالم تستخدم HIBP لحماية إداراتها ، ووكالات إنفاذ القانون التي تستخدمها في تحقيقاتها ، وجميع أنواع الاستخدامات الأخرى التي لم أرها أو حتى تخيلتها . واليوم ، تتم معالجة كل سطر من التعليمات البرمجية وكل تكوين وكل حساب تم تسريبه بواسطتي شخصيًا. لا يوجد "فريق HIBP" ، هناك شخص واحد يبقي كل شيء واقفا على قدميه.




عندما كنت بحاجة إلى الرسوم البيانية لشرح الهندسة المعمارية ، جلست وفعلت كل شيء بنفسي . أنا شخصيا وجدت شفرة المصدر لكل شعار للشركة المخترقة ، وقم بقصها وتغيير حجمها وتحسينها. في كل مرة قمت فيها بالكشف عن معلومات حول اختراق شركة لا تعرف عنها ، كان علي أن أتخلص من هذه المجموعة من المشاكل ، وتعاملت معها أيضًا (صدقوني ، استغرق الأمر كثيرًا من الوقت واتضح أن ذلك هو عنق الزجاجة الرئيسي والعقبة الرئيسية أمام تنزيل البيانات الجديدة). كل مقابلة في وسائل الإعلام ، وكل طلب للحصول على الدعم ، وبصراحة ، كل ما يمكن أن تتخيله تقريبًا ، تم بواسطة شخص واحد فقط في وقت فراغه. هذه ليست مجرد مشكلة تحميل ؛ أصبحت أكثر وعياً بحقيقة أنني أصبحت نقطة الفشل الوحيدة. ويحتاج إلى تغيير.

حان الوقت لتكبر

لقد كانت مقدمة طويلة ، ولكني أردت أن أصف الموقف من أجل الوصول إلى النقطة المنطقية: HIBP حان وقت النمو. لقد حان الوقت للانتقال من شخص واحد يفعل ما في وسعه ، في وقت فراغه ، إلى هيكل أكثر موارد وأفضل تمويلًا يمكنه القيام بالكثير أكثر مما كنت أستطيع القيام به من قبل. لفهم سبب أنني أكتب هذا الآن ، دعنا نشارك الصورة مع Google Analytics:



يعرض الرسم البياني 12 شهرًا حتى 18 يناير من هذا العام ، ويتوافق الارتفاع مع تحميل الحسابات من Collection # 1 . يتوافق هذا أيضًا مع اليوم الذي ذهبت فيه إلى أوروبا لبضعة أسابيع من مؤتمرات "الأعمال العادية" ، التي سبقتها عدة أيام من التحدث مع ابني البالغ من العمر 9 أعوام وأصدقائي المقربين في كوخ خشبي وسط ثلوج نرويجية. تعرضت لقصف لم يسبق له مثيل من رسائل البريد الإلكتروني ، التغريدات ، والمكالمات الهاتفية على جميع القنوات التي يمكن تصورها بسبب الاهتمام الهائل الذي تلقاه HIBP في جميع أنحاء العالم. أغلقت جميع الأدوات ، جالسًا بجوار الموقد الصغير ، وأستمتع بالمشروبات والمحادثة الجيدة. في تلك اللحظة ، أدركت أنني كنت قريبًا جدًا من الإرهاق. أنا متأكد تمامًا من أنني لم أحترق بعد ، لكنني أدركت أيضًا أنه يمكنني رؤية هذه اللحظة في المستقبل غير البعيد إذا لم أجري بعض التغييرات المهمة في حياتي (أود التحدث عن هذا في المستقبل ، لأن هذه بعض الدروس المهمة جدًا ، لكن الآن أريد أن أقوم بتأسيس سياق فيما يتعلق بالوقت ونقول ما سيحدث بعد ذلك). حدث كل هذا في نفس الوقت الذي سافرت فيه إلى العالم ، وتحدثت في الأحداث ، وعقدت حلقات دراسية ، وفعلت ملايين الأشياء الأخرى حتى استمرت الحياة.

أن نكون صادقين تمامًا ، لقد كانت سنة مزدحمة للغاية. الاهتمام الإضافي الذي بدأه HIBP في شهر يناير لم يعود إلى مستوى 2018 ، بل استمر في النمو والنمو. لقد أجريت تغييرات مختلفة للتكيف مع عبء العمل. ربما يكون أحد أكثرها وضوحًا هو الانخفاض الكبير في المشاركة على الشبكات الاجتماعية ، وخاصة على Twitter:



حتى شهر ديسمبر من العام الماضي ، قمت بتغريد ما متوسطه 1114 مرة في الشهر (لسبب ما ، لم تتضمن وظيفة التصدير مايو ويونيو 2017 ونصف شهر يوليو فقط ، لذا فقد حذفت هذه الأشهر على الرسم البياني). من فبراير إلى مايو من هذا العام ، انخفض الرقم إلى 315 ، أي من يناير رفضت الشبكات الاجتماعية بنسبة 72 ٪. قد يبدو هذا حقيقة تافهة ، ولكن هذا رقم كبير يرتبط مباشرة بالتأثير على حياتي مع الانتباه إلى HIBP. نفس الشيء إذا نظرت إلى إحصائيات منشورات المدونة. قمت بنشر مقاطع فيديو أسبوعية دينياً ، لكن كان عليّ تقليص جميع المنشورات الفنية الأخرى التي أحببت كتابتها في العقد الماضي.

عندما عدت من هذه الرحلة ، أجريت محادثة بين الحين والآخر مع عدة منظمات اعتقدت أنها قد تكون مهتمة بشراء HIBP. كانت هذه محادثات في جو مريح مع معارفه ، لذلك لم يسبب الموقف أي ضغوط. ليست هذه هي المرة الأولى التي أجرى فيها مثل هذه المناقشات - لقد قمت بذلك بالفعل عدة مرات عندما اتصلت المنظمات وسألت عن اهتماماتي في البيع - لكن هذه كانت المرة الأولى منذ أن تجاوزت إدارة خدمة ما جداول. كان هناك حماس حقيقي كبير ، لكنني أدركت بسرعة أنه عندما يتعلق الأمر بالمناقشات من هذا النوع ، فأنا شخص عادي كامل. بالطبع ، يمكنني معالجة المليارات من الإدخالات المعطلة للحماية وتشغيل الخدمات عبر الإنترنت وحدها التي يستخدمها مئات الملايين من الأشخاص ، ولكن هذه لعبة مختلفة تمامًا. حان الوقت لطلب المساعدة.

مشروع سفالبارد

مرة أخرى في أبريل ، خلال محادثة منتظمة مع أشخاص من KPMG حول بعض الأشياء المالية العادية (قابلت بانتظام مع الاستشاريين ، حيث أصبحت حالتي المالية أكثر صعوبة ) ، اقترحوا التحدث إلى موظفي قسم عمليات الاندماج والشراء لديهم حول العثور على جديد الصفحة الرئيسية ل HIBP. لقد كان من المناسب بالنسبة لي القيام بذلك: لدينا علاقة طويلة الأمد ، وهم لا يفهمون فقط جوهر HIBP ، ولكن أيضًا الأشياء الحساسة الأخرى التي أفعلها باستمرار عبر الإنترنت. كان هذا قرارًا سهلاً: كنت بحاجة إلى مساعدة ولديهم الخبرة المناسبة والخبرة المناسبة.

لقاء هؤلاء الناس ، سرعان ما أصبح من الواضح نوع الدعم الذي أحتاجه حقًا. الشيء الرئيسي الذي أدركته هو أنني لم أستغل الوقت الكافي للتراجع ونرى ما يفعله HIBP بالفعل. قد يبدو هذا غريباً ، لكن بما أن المشروع نما عضوياً على مر السنين ، وقمت ببنائه استجابة لمجموعة من الاحتياجات العاجلة ، لم أجد الوقت الكافي للتراجع وإلقاء نظرة شاملة على كل هذا. ولم يكن لدي ما يكفي من الوقت لأرى ما يمكنه فعله. سأعود لاحقًا إلى هذا الموضوع - كم عدد الفرص للقيام بالمزيد ، وأحتاج حقًا إلى دعم الأشخاص الذين لديهم دراية في الأعمال التجارية.

كانت إحدى المهام الأولى هي طرح اسم المشروع للبيع: على ما يبدو ، هذه هي الطريقة التي تتم بها الأمور. كان هناك الكثير من الخيارات الهائلة الرهيبة والعديد من الخيارات الأخرى التي اعتمدت على infobes buzzwords ، ثم كان لدي فكرة: هل تتذكر تخزين البذور الهائل هذا خارج الدائرة القطبية الشمالية؟ لقد رأيت روابط لها من قبل ، وفكرة مستودع ضخم لتخزين شيء ذي قيمة لمساعدة الإنسانية بدأت يتردد صداها بالفعل. اتضح أن هذا المكان يسمى سفالبارد (متجر البذور العالمي في سفالبارد) ويبدو كما يلي:



واتضح أيضًا أنه يقع في النرويج ، وبدأ كل هذا معًا في الظهور كاسم مناسب ، بدءًا من القياس الواضح لتخزين عدد كبير من "الوحدات". هناك مقطع فيديو رائع تم التقاطه قبل بضع سنوات يقول إن سعة مستودع العالم تبلغ حوالي مليار بذرة - ليس عدد السجلات كما في HIBP ، لكنك تفهم الفكرة. إذن هناك اسم: إنه غريب بعض الشيء. من الصعب نطق سفالبارد لأولئك الذين ليسوا على دراية بالكلمة (على الرغم من أن هذا الفيديو يساعد ) ، تمامًا مثل ... وأخيراً ، فإن النرويج لها أهمية كبيرة بالنسبة لي: قبل حوالي خمس سنوات ، كان أول أداء أجنبي لي هناك. تحدثت أمام غرفة مزدحمة ، وعندما غادر الجمهور ، ألقى كل منهم بطاقة تصنيف خضراء في الصندوق.


كانت هذه نقطة تحول في حياتي المهنية. في يناير من هذا العام ، كنت مرة أخرى في النرويج ، عندما أصبح HIBP حرفيًا ، كما رأيت في الرسم البياني السابق. لقد كان هناك ، في كابينة خشبية صغيرة وسط الثلج ، أدركت أن الوقت قد حان لكي يكبر HIBP. وبالصدفة البحتة ، أنا اليوم أقوم بنشر هذا المقال من النرويج مرة أخرى ، حيث أتيت إلى NDC Oslo للسنة السادسة على التوالي. كما ترون ، سفالبارد اسم جيد.

التزامي لمستقبل HIBP

إذن ماذا يعني أن تستحوذ شركة أخرى على HIBP؟ بصراحة ، لا أعرف بالضبط كيف سيبدو ، لذلك دعونا نتشارك بأفكاري بشكل صريح اليوم ، وهناك بعض النقاط المهمة التي أريد التأكيد عليها:

1. يجب أن يظل البحث عن المستخدمين مجانيًا . كانت الخدمة ناجحة للغاية لأنني ضمنت عدم وجود أي حواجز للأشخاص الذين يبحثون عن بياناتهم. وأنا أريدها تمامًا أن تبقى هكذا. لذلك ، يذهب هذا البند في رقم 1.
   
2. سأبقى جزءًا من HIBP . أنوي أن أصبح جزءًا من الصفقة ، أي أن الشركة سوف تستقبلني مع المشروع. ترتبط العلامة التجارية HIBP ارتباطًا وثيقًا بالعلامة التجارية الخاصة بي ، ويجب أن أبقى الآن.
   
3. أريد تنفيذ وظائف أكثر كفاءة . هناك الكثير من الأشياء التي أريد القيام بها مع HIBP ، ولم أستطع القيام بها بنفسي. هذا مشروع ذو إمكانات هائلة تتجاوز ما تم إنجازه بالفعل ، وأعتزم القيام به.
   
4. أريد الوصول إلى جمهور أكبر بكثير من الآن . أصبح الجمهور الآن ضخمًا ، ولكن لا يزال هذا مجرد عدد ضئيل للغاية من المستخدمين الذين يحتاجون إلى الاطلاع على تسريبات بياناتهم الشخصية.
   
5. يمكن فعل الكثير لتغيير سلوك المستهلك . يمثل الاختطاف التلقائي للحساب ( حشو بيانات الاعتماد ) مشكلة كبيرة في الوقت الحالي ، وهو موجود فقط بسبب إعادة استخدام كلمة المرور. أريد أن يلعب HIBP دورًا أكبر في تغيير الطريقة التي يدير بها الأشخاص حساباتهم.
   
6. يمكن للمؤسسات الاستفادة أكثر من HIBP . باتباع الفقرة السابقة ، يمكن لخدمات المستخدم حماية عملائها بشكل أفضل من هذا النوع من الهجوم ، ويمكن للبيانات من HIBP أن تلعب دورًا مهمًا (وبعض المنظمات تستغل هذه الفرصة بالفعل).
   
7. يجب أن يكون هناك المزيد من الانفتاح - والمزيد من البيانات . لقد سبق أن ذكرت كم هو عبء مسؤولية كشف حقيقة القرصنة ، و Svalbard يجعل من الممكن إصلاحه. مجموعة كاملة من المنظمات لا تعرف أنهم تعرضوا للاختراق ، لمجرد أنني لم يكن لدي وقت للتعامل مع كل هذا.

لدي فهم واضح لما يمكن أن تساعده منظمات معينة في هذه النقاط. هناك أيضًا مجموعة ثانية ، أحترمها كثيرًا ، لكنهم أكثر استعدادًا للمساعدة في تحقيق ذلك. مع تطور العملية ، ستساعد KPMG على تحديد المنظمات التي تندرج ضمن الفئة الأولى بشكل أوضح. أنا متأكد من أنك يمكن أن تتخيل أن هناك مناقشات جادة: كيف ستناسب HIBP الشركة ، وكيف ستساعدني في تحقيق هذه الأهداف وما إذا كانت هذه الشركة مناسبة لهذه الخدمة القيمة مثل HIBP. لديّ بعض الاعتبارات الشخصية المهمة ، بما في ذلك من أشعر بالراحة في العمل ، وجدول مجاني ، وبالطبع الجانب المالي. أن نكون صادقين ، إنه بنفس القدر من التحدي والإثارة.

قبل نشر هذه المقالة ، اتصلت بجميع الأطراف المعنية التي قد تكون ذات صلة بمشروع سفالبارد. شرحت دوافعي ووجهة نظري حول مستقبل HIBP: أن المشروع لا ينبغي أن يصبح أكثر موثوقية فحسب ، بل وأيضًا يعزز تأثيره بشكل كبير على الموقف من خلال تسريبات البيانات الضخمة. وقد أدى هذا بالفعل إلى بعض المناقشات المثمرة مع المنظمات التي يمكن أن تساعد HIBP أن يكون لها تأثير أكثر إيجابية على الصناعة. كان هناك حماس كبير ودعم لهذه العملية ، وهو أمر مشجع.

قد تسأل ، لماذا لا تسجل شركة تجارية وببساطة لا توظف أشخاصاً؟ بالطبع ، أتيحت لي الفرصة لتمويل الشركة إما بمفردي أو من خلال مختلف أصحاب رؤوس الأموال الذين كانوا يطرقونني لسنوات عديدة. لكنني لم أفعل ذلك ، لأن شركة تجارية تزيد مسؤولياتي بشكل كبير ، بينما كنت في حاجة إلى عكس ذلك. من هذا اليوم ، لم يكن بإمكاني المغادرة لمدة أسبوع ، وإذا حاولت قطع الاتصال حتى ليوم واحد ، فسأشعر بالقلق دائمًا من أني سأفتقد شيئًا مهمًا. بمرور الوقت ، يمكن أن يتيح لي إنشاء شركة الاسترخاء ، ولكن فقط بعد استثمار قدر كبير من الوقت (والمال) ، وهذا ليس هو المطلوب في الوقت الحالي.

ملخص

أنا متحمس للغاية حول إمكانات مشروع سفالبارد. في هذه المناقشات المبكرة مع المنظمات الأخرى ، بدأت بالفعل في رؤية كيف تظهر الخطوط العريضة لإدارة أفضل للنظام الإيكولوجي بأكمله في مجال تسرب البيانات. تخيل مستقبلًا يمكنني من خلاله تلقي المزيد من البيانات ومعالجتها ، والاتصال الفعال بالمنظمات المتأثرة ، ومساعدتها في عملية حل الحادث ، ومساعدة المستخدمين مثلك ومثلي على فهم أفضل لما يحدث (وما يجب القيام به حيال ذلك) وفي في النهاية ، قم بتقليل الضرر الناتج عن هذه التسريبات إلى المنظمات والمستخدمين. وهذا يذهب إلى أبعد من ذلك بكثير ، لأنه بعد التسرب يمكنك القيام بالكثير ، وخاصة في الحرب ضد الهجمات مثل الاختطاف التلقائي للحسابات بالسرعة العالية التي نراها هذه الأيام. أنا سعيد حقًا بنجاح HIBP ، لكن حتى الآن هذا مجرد غيض من فيض.

لقد اتخذت هذا القرار عندما يكون لدي سيطرة كاملة على العملية. أنا لست تحت أي نوع من الضغط (باستثناء عبء العمل المرتفع ، بالطبع) ، ولدي وقت للبحث عن المشتري للذهاب في مساره والعثور على أفضل مرشح للمشروع. وكما هو الحال دائمًا مع HIBP ، أواصل عمل كل شيء بشفافية كاملة ، مع وصف هذه العملية بالتفصيل هنا. إنني أدرك حقًا ثقة المستخدمين وكل يوم يذكرونني بالمسؤولية التي تأتي مع هذه الثقة.

يبلغ عمر HIBP أقل من ست سنوات ، ولكنه تتويج لأعمال حياتي كلها. ما زلت أتذكر بوضوح بداية التسعينيات ، عندما بدأت لأول مرة في إنشاء برامج للإنترنت ، وكنت أحلم بإنشاء شيء كبير: "أليس من المستغرب أن أجلس هنا في المنزل وأكتب رمزًا يمكن أن يكون له يومًا ما تأثير حقيقي على العالم كله؟ كان لدي بضع بدايات خاطئة واستغرق الأمر مجموعة من العوامل لجعل HIBP كما هي اليوم ، وهذا بالضبط ما كنت آمل فيه. مشروع سفالبارد هو تحقيق هذا الحلم ، وأنا متحمس للغاية للفرص التي ستنشأ نتيجة لذلك.