Im Jahr 2013 wurde mir klar, dass private Datenlecks allgegenwärtig wurden. In der Tat sind solche Fälle häufiger geworden. Und der Einfluss dieser Lecks auf ihre Opfer, einschließlich mir, hat zugenommen. Zunehmend schrieb ich in einem Blog zu diesem Thema, das ein faszinierendes Segment der Informationssicherheitsbranche zu sein schien: Wie die Wiederverwendung von Passwörtern auf Gawker und Twitter zu massivem Blueberry-Spam auf Twitter führte und dass sich die Passwörter der Benutzer von Sony Pictures als wirklich so schlecht wie möglich herausstellten Von diesen Leuten zu erwarten , aber verdammt, es ist immer noch schockierend, Ihr Passwort in dieser undichten Datenbank zu sehen. Gleichzeitig stimmten 59% der Passwörter aus der Sony-Datenbank mit Passwörtern aus Yahoo-Postfächern überein .

Zu dieser Zeit hat Adobe Daten verloren, und das hat mich wirklich für dieses Industriesegment interessiert, nicht zuletzt, weil ich in dieser Datenbank war. Zweimal. Vor allem umfasste es 153 Millionen andere Menschen. Es war ein außergewöhnlich massives Leck, selbst nach heutigen Maßstäben. All dies zusammen - Leckrate, meine Datenbankanalyse und Adobe-Skala - hat mich gefragt: Ich frage mich, wie viele Leute wissen? Verstehen sie, dass ihre Daten öffentlich verfügbar sind? Verstehen sie wie oft ? Und vielleicht am wichtigsten: Haben sie ihr Passwort (ja, fast immer das einzige) in anderen Diensten geändert, die sie verwenden? Und so entstand das HIBP-Projekt ( Have I Been Pwned ): Finden Sie Ihre Passwörter in vielen durchgesickerten Basen.

Lassen Sie mich kurz auf die aktuellen Angelegenheiten des Dienstes eingehen. Es gibt fast 8 Milliarden Datensätze in der Datenbank, fast 3 Millionen Menschen haben sich für Benachrichtigungen angemeldet, ich habe 7 Millionen Nachrichten über den Verlust ihrer Daten gesendet, weitere 120.000 Menschen überwachen Domains, sie haben 230.000 Suchanfragen gestellt und ich habe ihnen eine weitere per E-Mail gesendet. 1 Million Benachrichtigungen. An einem normalen Tag hat die Site 150.000 eindeutige Besucher, 10 Millionen an einem abnormalen Tag, ein paar weitere Millionen API-Treffer und 10 Millionen Suchanfragen. Aber jetzt werden sogar diese Zahlen überschritten:


Der Dienst hat übrigens kommerzielle Abonnenten , die von HIBP abhängig sind. Dies sind verschiedene Unternehmen, die ihre Kunden bereits informieren. Und es gibt Regierungen auf der ganzen Welt , die HIBP verwenden, um ihre Abteilungen zu schützen, Strafverfolgungsbehörden , die es für ihre Ermittlungen verwenden, und alle möglichen anderen Anwendungen , die ich nie gesehen oder mir vorgestellt habe . Und heute wird jede Codezeile, jede Konfiguration und jedes durchgesickerte Konto von mir persönlich verarbeitet. Es gibt kein "HIBP-Team", es gibt einen Mann, der alles über Wasser hält.




Als ich Infografiken brauchte, um die Architektur zu erklären, setzte ich mich und machte alles selbst . Ich selbst habe den Quellcode jedes Logos der gehackten Firma gefunden, geschnitten, in der Größe geändert und optimiert. Jedes Mal, wenn ich Informationen über das Hacken eines Unternehmens veröffentlichte, das nichts davon wusste, musste ich so viele Probleme lösen, und ich habe mich auch damit befasst (glauben Sie mir, es nimmt viel Zeit in Anspruch und stellte sich als Hauptengpass und Haupthindernis für das Herunterladen neuer Daten heraus). Jedes Interview in den Medien, jede Bitte um Unterstützung und ehrlich gesagt fast alles, was man sich vorstellen kann, wurde in seiner Freizeit von nur einer Person durchgeführt. Dies ist nicht nur ein Lastproblem. Mir wurde zunehmend bewusst, dass ich der einzige Punkt des Scheiterns wurde. Und es muss geändert werden.

Es ist Zeit, erwachsen zu werden

Es war eine lange Einführung, aber ich wollte die Situation beschreiben, um logisch auf den Punkt zu kommen: HIBP, es ist Zeit, erwachsen zu werden. Es ist Zeit, von einem Mann, der in seiner Freizeit tut, was er kann, zu einer besser ausgestatteten und besser finanzierten Struktur überzugehen, die viel mehr kann, als ich jemals alleine könnte. Um besser zu verstehen, warum ich das jetzt schreibe, teilen wir das Bild mit Google Analytics:



Die Grafik zeigt 12 Monate bis zum 18. Januar dieses Jahres an, und der Anstieg entspricht dem Laden von Konten aus Sammlung Nr. 1 . Dies entspricht auch dem Tag, an dem ich für ein paar Wochen „normale Geschäftskonferenzen“ nach Europa ging, denen mehrere Tage lang ein Gespräch mit meinem 9-jährigen Sohn und guten Freunden in einer Holzhütte mitten im norwegischen Schnee vorausging. Aufgrund der enormen Aufmerksamkeit, die HIBP auf der ganzen Welt erhielt, war ich einem beispiellosen Bombardement von E-Mails, Tweets und Telefonanrufen auf allen denkbaren Kanälen ausgesetzt. Und ich schaltete alle Geräte aus, saß am kleinen Kamin, genoss Getränke und gute Gespräche. In diesem Moment wurde mir klar, dass ich dem Burnout sehr nahe war. Ich bin mir ziemlich sicher, dass ich noch nicht ausgebrannt bin, habe aber auch festgestellt, dass ich diesen Moment in nicht allzu ferner Zukunft sehen kann, wenn ich keine wichtigen Änderungen in meinem Leben vornehme (ich möchte in Zukunft darüber sprechen, denn hier sind einige ziemlich wichtige Lektionen, aber jetzt möchte ich einen zeitlichen Kontext herstellen und sagen, was als nächstes passieren wird). All dies geschah zur gleichen Zeit, als ich um die Welt reiste, auf Veranstaltungen sprach, Seminare leitete und eine Million anderer Dinge tat, damit das Leben weiterging.

Um ganz ehrlich zu sein, war es ein sehr arbeitsreiches Jahr. Die zusätzliche Aufmerksamkeit, die HIBP im Januar zu erhalten begann, kehrte nie auf das Niveau von 2018 zurück, sondern wuchs einfach weiter und weiter. Ich habe verschiedene Änderungen vorgenommen, um mich an die Arbeitsbelastung anzupassen. Vielleicht ist einer der offensichtlichsten der massive Rückgang der Teilnahme an sozialen Netzwerken, insbesondere auf Twitter:



Bis Dezember letzten Jahres habe ich durchschnittlich 1.141 Mal im Monat getwittert (aus irgendeinem Grund umfasste die Exportfunktion nicht Mai und Juni 2017 und nur die Hälfte des Juli, daher habe ich diese Monate in der Tabelle weggelassen). Von Februar bis Mai dieses Jahres sank die Zahl auf 315, dh ab Januar lehnte ich soziale Netzwerke um 72% ab. Dies mag wie eine leichtfertige Tatsache erscheinen, aber dies ist eine bedeutende Zahl, die in direktem Zusammenhang mit den Auswirkungen der Aufmerksamkeit auf HIBP auf mein Leben steht. Das Gleiche gilt, wenn Sie sich die Statistiken von Blog-Posts ansehen. Ich habe religiös wöchentliche Videos veröffentlicht, aber ich musste alle anderen technischen Beiträge reduzieren, die ich im letzten Jahrzehnt gerne geschrieben habe.

Als ich von dieser Reise zurückkam, führte ich gelegentlich Gespräche mit mehreren Organisationen, von denen ich glaubte, dass sie am Kauf von HIBP interessiert sind. Dies waren Gespräche in einer angenehmen Atmosphäre mit Bekannten, sodass die Situation keinen Stress verursachte. Dies ist nicht das erste Mal, dass ich solche Diskussionen geführt habe - ich habe dies bereits mehrmals getan, als Organisationen Kontakt aufgenommen und gefragt haben, was mein Interesse an dem Verkauf ist -, aber dies war das erste Mal, dass der Aufwand für die Verwaltung eines Dienstes darüber hinausging Zeitpläne. Es gab große echte Begeisterung, aber ich erkannte schnell, dass ich bei solchen Diskussionen ein kompletter Laie bin. Natürlich kann ich Milliarden von Einträgen mit Jailbreak verarbeiten und allein Online-Dienste ausführen, die von Hunderten Millionen Menschen genutzt werden, aber dies ist ein völlig anderes Spiel. Es ist Zeit, um Hilfe zu rufen.

Spitzbergen-Projekt

Bereits im April schlugen sie während eines regelmäßigen Gesprächs mit Mitarbeitern von KPMG über einige gewöhnliche finanzielle Dinge (ich traf mich regelmäßig mit Beratern, da meine eigene finanzielle Situation schwieriger wurde ) vor, mit ihren Mitarbeitern der M & A-Abteilung über die Suche nach einem neuen zu sprechen Zuhause für HIBP. Es war bequem für mich, dies zu tun: Wir haben eine langfristige Beziehung und sie verstehen nicht nur die Essenz von HIBP, sondern auch andere sensible Dinge, die ich ständig online mache. Dies war eine einfache Entscheidung: Ich brauchte Hilfe, und sie haben die richtige Erfahrung und das richtige Fachwissen.

Als ich diese Leute traf, wurde schnell klar, welche Art von Unterstützung ich wirklich brauchte. Die Hauptsache, die mir klar wurde, war, dass ich mir nie die Zeit genommen habe, zurückzutreten und zu sehen, was HIBP tatsächlich tut. Das mag seltsam erscheinen, aber da das Projekt im Laufe der Jahre organisch gewachsen ist und ich es als Reaktion auf eine Kombination dringender Bedürfnisse aufgebaut habe, fand ich keine Zeit, zurückzutreten und all dies ganzheitlich zu betrachten. Und ich hatte nicht genug Zeit, um zu sehen, was er tun konnte. Später werde ich auf dieses Thema zurückkommen - wie viele Möglichkeiten, viel mehr zu tun, und ich brauche wirklich die Unterstützung von Menschen, die sich mit Geschäft auskennen.

Eine der ersten Aufgaben bestand darin, den Namen des zu verkaufenden Projekts zu finden: Anscheinend wird so vorgegangen. Es gab viele schrecklich kitschige Optionen und viele andere, die sich auf Schlagworte stützten, und dann hatte ich den Gedanken: Erinnern Sie sich an diese riesige Saatgutlagerung jenseits des Polarkreises? Ich habe schon früher Links dazu gesehen, und die Idee eines riesigen Aufbewahrungsortes, in dem etwas Wertvolles aufbewahrt wird, um der Menschheit zu helfen, begann wirklich zu schwingen. Es stellt sich heraus, dass dieser Ort Spitzbergen heißt (der World Seed Store auf Spitzbergen) und so aussieht:



Es stellte sich auch heraus, dass es sich in Norwegen befand, und all dies zusammen klang wie ein Eigenname, beginnend mit der offensichtlichen Analogie, eine große Anzahl von „Einheiten“ zu speichern. Es gibt ein cooles Video, das vor einigen Jahren gedreht wurde und besagt, dass das World Warehouse eine Kapazität von etwa einer Milliarde Samen hat - nicht so viele Datensätze wie in HIBP, aber Sie verstehen die Idee. Es gibt also einen Namen: Es ist ein bisschen seltsam. Spitzbergen ist schwer auszusprechen für diejenigen, die mit dem Wort nicht vertraut sind (obwohl dieses Video hilft ), genau wie ... pwned. Und schließlich ist Norwegen für mich von großer Bedeutung: Vor fast fünf Jahren fand dort meine erste ausländische Aufführung statt. Ich sprach vor einem überfüllten Raum, und als das Publikum ging, warf jeder eine grüne Bewertungskarte in die Schachtel.


Dies war ein Wendepunkt in meiner Karriere. Im Januar dieses Jahres war ich wieder in Norwegen, als HIBP buchstäblich verrückt wurde, wie Sie in der vorherigen Grafik gesehen haben. Dort, in einer kleinen Blockhütte mitten im Schnee, wurde mir klar, dass es Zeit für HIBP war, erwachsen zu werden. Und rein zufällig veröffentliche ich heute diesen Artikel wieder aus Norwegen, nachdem ich zum sechsten Mal in Folge zum NDC Oslo gekommen bin. Wie Sie sehen können, ist Spitzbergen ein guter Name.

Mein Engagement für die Zukunft von HIBP

Was bedeutet es also, wenn ein anderes Unternehmen HIBP erwirbt? Ehrlich gesagt, ich weiß nicht genau, wie es aussehen wird. Lassen Sie uns also meine Gedanken für heute offen teilen, und es gibt einige wirklich wichtige Punkte, die ich hervorheben möchte:

1. Die Suche nach Benutzern sollte kostenlos bleiben . Der Service war so erfolgreich, weil ich garantiert habe, dass Menschen, die nach ihren Daten suchen, keine Hindernisse mehr haben. Und ich möchte unbedingt, dass es so bleibt. Daher geht dieser Artikel an Nummer 1.
   
2. Ich werde Teil des HIBP bleiben . Ich beabsichtige, Teil der Transaktion zu werden, dh das Unternehmen wird mich zusammen mit dem Projekt empfangen. Die Marke HIBP ist untrennbar mit meiner verbunden, und ich muss jetzt bleiben.
   
3. Ich möchte viel mehr Funktionen kompetent implementieren . Es gibt Unmengen von Dingen, die ich mit HIBP machen möchte und die ich einfach nicht selbst machen konnte. Dies ist ein Projekt mit einem enormen Potenzial, das über das bereits Erreichte hinausgeht, und ich beabsichtige, dies zu tun.
   
4. Ich möchte ein viel größeres Publikum als jetzt erreichen . Jetzt ist das Publikum riesig, aber dies ist nur ein kleiner Teil der Benutzer, die über Lecks ihrer persönlichen Daten informiert werden müssen.
   
5. Es kann noch viel mehr getan werden, um das Verbraucherverhalten zu ändern . Das automatische Hijacking von Konten ( Stuffing von Anmeldeinformationen ) ist derzeit ein großes Problem und existiert nur aufgrund der Wiederverwendung von Passwörtern. Ich möchte, dass HIBP eine viel größere Rolle bei der Änderung der Art und Weise spielt, wie Menschen ihre Konten verwalten.
   
6. Unternehmen können viel mehr von HIBP profitieren . Durch Befolgen des vorherigen Absatzes können Benutzerdienste ihre Kunden viel besser vor dieser Form des Angriffs schützen, und Daten von HIBP können eine wichtige Rolle spielen (und einige Organisationen nutzen diese Gelegenheit bereits).
   
7. Es sollte mehr Offenheit geben - und mehr Daten . Ich habe bereits erwähnt, wie lästig die Verantwortung ist, die Tatsache des Hackens aufzudecken, und Svalbard macht es möglich, dies zu beheben. Eine ganze Reihe von Organisationen weiß nicht, dass sie gehackt wurden, einfach weil ich keine Zeit hatte, mich mit all dem zu befassen.

Ich habe ein klares Verständnis dafür, welche spezifischen Organisationen bei diesen Punkten helfen können. Es gibt auch eine zweite Gruppe, der ich großen Respekt entgegenbringe, die aber schlechter gerüstet ist, um dies zu erreichen. Im Verlauf des Prozesses wird KPMG dazu beitragen, klarer zu bestimmen, welche Organisationen in die erste Kategorie fallen. Sie können sich sicher vorstellen, dass es sehr ernsthafte Diskussionen gibt: Wie wird HIBP in das Unternehmen passen, wie werden sie mir helfen, diese Ziele zu erreichen, und ob dieses Unternehmen für einen so wertvollen Service wie HIBP geeignet ist. Ich habe einige wichtige persönliche Überlegungen, einschließlich der Frage, mit wem ich gerne zusammenarbeite, eines kostenlosen Zeitplans und natürlich der finanziellen Seite. Um ehrlich zu sein, ist es gleichermaßen herausfordernd und aufregend.

Vor der Veröffentlichung dieses Artikels habe ich alle interessierten Parteien kontaktiert, die für das Svalbard-Projekt relevant sein könnten. Ich erklärte meine Motive und meine Sicht auf die Zukunft von HIBP: Das Projekt sollte nicht nur zuverlässiger werden, sondern auch seinen Einfluss auf die Situation durch massive Datenlecks erheblich stärken. Dies hat bereits zu einigen wirklich produktiven Diskussionen mit Organisationen geführt, die dazu beitragen könnten, dass HIBP einen viel positiveren Einfluss auf die Branche hat. Es gab große Begeisterung und Unterstützung für diesen Prozess, was ermutigend ist.

Sie fragen sich vielleicht, warum nicht ein Handelsunternehmen registrieren und einfach keine Leute einstellen? Natürlich hatte ich die Möglichkeit, das Unternehmen entweder alleine oder über verschiedene Risikokapitalgeber zu finanzieren, die mich jahrelang angeklopft hatten. Aber ich habe es nicht getan, weil ein Handelsunternehmen meine Verantwortung erheblich erhöht, während ich das Gegenteil brauchte. Von diesem Tag an konnte ich nicht mehr für eine Woche gehen, und wenn ich versuchen würde, auch nur für einen Tag die Verbindung zu trennen, würde ich mir ständig Sorgen machen, dass ich etwas Wichtiges verpassen würde. Mit der Zeit kann ich mich durch die Gründung eines Unternehmens entspannen, allerdings erst, nachdem ich viel Zeit (und Geld) investiert habe, und dies ist derzeit nicht erforderlich.

Zusammenfassung

Ich freue mich sehr über das Potenzial des Svalbard-Projekts. In diesen frühen Gesprächen mit anderen Organisationen sehe ich bereits, wie die Umrisse eines besseren Managements des gesamten Ökosystems im Bereich der Datenlecks aussehen. Stellen Sie sich eine Zukunft vor, in der ich viel mehr Daten empfangen und verarbeiten, die betroffenen Organisationen aktiv kontaktieren, ihnen bei der Lösung des Vorfalls helfen, Benutzern wie Ihnen und mir helfen kann, besser zu verstehen, was passiert (und was dagegen zu tun ist) und in Reduzieren Sie letztendlich den Schaden durch solche Lecks für Organisationen und Benutzer. Und das geht noch viel weiter, denn nach dem Leck können Sie noch viel mehr tun, insbesondere im Kampf gegen Angriffe wie die automatische Entführung von Konten mit der hohen Geschwindigkeit, die wir heutzutage sehen. Ich bin sehr zufrieden mit dem Erfolg von HIBP, aber bisher ist dies nur die Spitze des Eisbergs.

Ich habe diese Entscheidung getroffen, als ich die volle Kontrolle über den Prozess habe. Ich stehe nicht unter Druck (außer natürlich einer hohen Arbeitsbelastung), und ich habe Zeit für die Suche nach dem Käufer, um seinen Kurs zu besuchen und den besten Kandidaten für das Projekt zu finden. Und wie immer bei HIBP mache ich weiterhin alles mit vollständiger Transparenz und beschreibe diesen Prozess hier ausführlich. Ich erkenne das Vertrauen der Benutzer wirklich und sie erinnern mich jeden Tag an die Verantwortung, die mit diesem Vertrauen verbunden ist.

HIBP ist weniger als sechs Jahre alt, aber es ist der Höhepunkt der Arbeit meines ganzen Lebens. Ich erinnere mich noch lebhaft an den Anfang der 90er Jahre, als ich anfing, Software für das Internet zu entwickeln, und davon träumte, etwas Großes zu erstellen: „Ist es nicht verwunderlich, dass ich hier zu Hause sitze und Code schreibe, auf den sich eines Tages wirklich auswirken kann? die ganze Welt? " Ich hatte ein paar Fehlstarts und es bedurfte einer Kombination von Faktoren, um HIBP zu dem zu machen, was es heute ist, und genau darauf habe ich gehofft. Das Svalbard-Projekt ist die Verwirklichung dieses Traums, und ich freue mich sehr über die Chancen, die sich daraus ergeben.