En 2013, j'ai commencé à réaliser que les fuites de données privées devenaient omniprésentes. En effet, de tels cas sont devenus plus fréquents. Et l'influence de ces fuites sur leurs victimes, dont moi, a augmenté. De plus en plus, j'ai écrit sur un blog sur ce sujet, qui semblait être un segment fascinant de l'industrie de la sécurité de l'information: comment la réutilisation des mots de passe sur Gawker et Twitter a conduit à un énorme spam de myrtilles sur Twitter , et que les mots de passe des utilisateurs de Sony Pictures se sont avérés vraiment aussi mauvais que possible à attendre de ces personnes , mais bon sang, il est toujours choquant de voir votre mot de passe dans cette base de données qui fuit. Dans le même temps, 59% des mots de passe de la base de données Sony coïncidaient avec les mots de passe des boîtes aux lettres Yahoo .

À cette époque, Adobe fuyait des données et cela m'a vraiment intéressé par ce segment de l'industrie, notamment parce que j'étais dans cette base de données. Deux fois. Plus important encore, il contenait 153 millions d'autres personnes. C'était une fuite exceptionnellement massive, même selon les normes d'aujourd'hui. Tout cela ensemble - taux de fuite, analyse de ma base de données et échelle Adobe - m'a fait me demander: je me demande combien de personnes le savent? Comprennent-ils que leurs données sont accessibles au public? Comprennent-ils combien de fois ? Et, peut-être le plus important: ont-ils changé leur mot de passe (oui, presque toujours le seul) dans d'autres services qu'ils utilisent? Et donc le projet Have I Been Pwned (HIBP) est né: trouver vos mots de passe dans de nombreuses bases divulguées.

Permettez-moi de parler brièvement des affaires courantes du service. Il y a près de 8 milliards d'enregistrements dans la base de données, près de 3 millions de personnes se sont inscrites pour les notifications, j'ai envoyé aux gens 7 millions de messages sur la fuite de leurs données, 120 000 autres personnes surveillent les domaines, ils ont fait 230 000 requêtes de recherche et je leur ai envoyé 1 autre par courrier, 1 million de notifications. En temps normal, le site compte 150 000 visiteurs uniques, 10 millions un jour anormal, quelques millions de visites API supplémentaires et 10 millions de requêtes de recherche. Mais maintenant, même ces chiffres sont dépassés:


Soit dit en passant, le service a des abonnés commerciaux qui dépendent de HIBP. Il s'agit d'une variété d'entreprises qui informent déjà leurs clients. Et il y a des gouvernements à travers le monde qui utilisent HIBP pour protéger leurs services, des organismes d'application de la loi qui l'utilisent pour leurs enquêtes, et toutes sortes d' autres façons d'utiliser que je n'ai jamais vues ni même imaginées . Et aujourd'hui, chaque ligne de code, chaque configuration et chaque compte divulgué sont traités personnellement par moi. Il n'y a pas d '«équipe HIBP», il y a un gars qui garde tout à flot.




Quand j'avais besoin d'infographies pour expliquer l'architecture, je me suis assis et j'ai tout fait moi-même . J'ai moi-même trouvé le code source de chaque logo de l'entreprise piratée, je l'ai coupé, redimensionné et optimisé. Chaque fois que je divulguais des informations sur le piratage d'une entreprise qui ne le savait pas, je devais ramasser un tas de problèmes, et je m'en suis également occupé (croyez-moi, cela prend beaucoup de temps et s'est avéré être le principal goulot d'étranglement et le principal obstacle au téléchargement de nouvelles données). Chaque interview dans les médias, chaque demande de soutien et, franchement, presque tout ce que vous pouvez imaginer, a été réalisée par une seule personne pendant son temps libre. Ce n'est pas seulement un problème de charge; Je suis devenu de plus en plus conscient du fait que je suis devenu le seul point d'échec. Et cela doit être changé.

Il est temps de grandir

Ce fut une longue introduction, mais je voulais décrire la situation afin d'arriver au point logique: HIBP il est temps de grandir. Il est temps de passer d'un gars qui fait ce qu'il peut, pendant son temps libre, à une structure plus financée et mieux financée qui peut faire beaucoup plus que je ne pourrais le faire par moi-même. Pour mieux comprendre pourquoi j'écris ceci maintenant, partageons l'image avec Google Analytics:



Le graphique affiche 12 mois jusqu'au 18 janvier de cette année, et la hausse correspond au chargement des comptes de la collection # 1 . Cela correspond également au jour où je suis allé en Europe pour quelques semaines de conférences «affaires ordinaires», qui ont été précédées de plusieurs jours de conversation avec mon fils de 9 ans et mes bons amis dans une cabane en bois au milieu des neiges norvégiennes. J'ai été bombardée sans précédent d'e-mails, de tweets et d'appels téléphoniques sur tous les canaux imaginables en raison de l' énorme attention que HIBP a reçue dans le monde entier. Et j'ai éteint tous les gadgets, assis près de la petite cheminée, buvant des boissons et une bonne conversation. À ce moment, j'ai réalisé que j'étais très proche de l'épuisement professionnel. Je suis sûr que je ne me suis pas encore fané, mais j'ai également réalisé que je peux voir ce moment dans un avenir pas trop lointain si je n'apporte pas de changements importants dans ma vie (j'aimerais en parler à l'avenir, car voici quelques leçons assez importantes, mais maintenant je veux établir un contexte par rapport au temps et dire ce qui va se passer ensuite). Tout cela s'est produit en même temps que j'ai parcouru le monde, pris la parole lors d'événements, organisé des séminaires et fait un million d'autres choses pour que la vie continue.

Pour être tout à fait honnête, ce fut une année extrêmement chargée. L'attention supplémentaire que HIBP a commencé à recevoir en janvier n'est jamais revenue au niveau de 2018, elle a simplement continué de croître et de croître. J'ai fait divers changements pour m'adapter à la charge de travail. L'une des plus évidentes est peut-être la baisse massive de la participation sur les réseaux sociaux, en particulier sur Twitter:



Jusqu'en décembre de l'année dernière, j'ai tweeté en moyenne 1141 fois par mois (pour une raison quelconque, la fonction d'exportation n'incluait pas mai et juin 2017 et seulement la moitié de juillet, j'ai donc omis ces mois sur le graphique). De février à mai de cette année, le nombre est tombé à 315, c'est-à-dire qu'à partir de janvier j'ai refusé les réseaux sociaux de 72%. Cela peut sembler un fait frivole, mais c'est un nombre important qui est directement lié à l'impact sur ma vie d'attention à HIBP. La même chose si vous regardez les statistiques des articles de blog. J'ai publié religieusement des vidéos hebdomadaires, mais j'ai dû réduire tous les autres postes techniques que j'ai adoré écrire au cours de la dernière décennie.

À mon retour de ce voyage, j'ai eu des conversations occasionnelles avec plusieurs organisations qui, selon moi, pourraient être intéressées par l'achat de HIBP. Il s'agissait de conversations dans une atmosphère confortable avec des connaissances, de sorte que la situation ne causait aucun stress. Ce n'est pas la première fois que j'ai de telles discussions - je l'ai déjà fait plusieurs fois lorsque des organisations ont contacté et demandé quel était mon intérêt pour la vente - mais c'était la première fois depuis que les frais généraux de gestion d'un service allaient au-delà horaires. Il y avait un véritable enthousiasme, mais je me suis vite rendu compte qu'en ce qui concerne les discussions de ce genre, je suis ici un profane complet. Bien sûr, je peux traiter des milliards d'entrées jailbreakées et exécuter des services en ligne seuls qui sont utilisés par des centaines de millions de personnes, mais c'est un jeu complètement différent. Il est temps d'appeler à l'aide.

Projet Svalbard

En avril, lors d'une conversation habituelle avec des gens de KPMG au sujet de certaines choses financières ordinaires (je rencontrais régulièrement des consultants, car ma propre situation financière devenait plus difficile ), ils ont suggéré de parler avec le personnel de leur service des fusions et acquisitions pour trouver un nouveau Accueil pour HIBP. C'était pratique pour moi de le faire: nous avons une relation à long terme, et ils comprennent non seulement l'essence de HIBP, mais aussi d'autres choses sensibles que je fais constamment en ligne. Ce fut une décision facile: j'avais besoin d'aide, et ils ont la bonne expérience et la bonne expertise.

En rencontrant ces gens, il est rapidement devenu clair de quel type de soutien j'avais vraiment besoin. La principale chose que j'ai réalisée est que je n'ai jamais pris le temps de prendre du recul et de voir ce que fait HIBP. Cela peut sembler étrange, mais comme le projet s'est développé de manière organique au fil des ans et que je l'ai construit en réponse à une combinaison de besoins urgents, je n'ai pas trouvé le temps de prendre du recul et de jeter un regard holistique sur tout cela. Et je n'ai pas eu assez de temps pour voir ce qu'il pouvait faire. Plus tard, je reviendrai sur ce sujet - combien d'occasions de faire beaucoup plus, et j'ai vraiment besoin du soutien de gens qui connaissent bien les affaires.

L'une des premières tâches a été de trouver le nom du projet à vendre: apparemment, c'est ainsi que les choses se font. Il y avait beaucoup d'options terriblement kitsch et beaucoup d'autres qui s'appuyaient sur des mots-clés à la mode, et j'ai alors pensé: vous souvenez-vous de ce stockage massif de graines au-delà du cercle polaire? J'y ai déjà vu des liens, et l'idée d'un immense référentiel stockant quelque chose de précieux pour aider l'humanité a commencé à vraiment résonner. Il s'avère que cet endroit s'appelle Svalbard (le World Seed Store sur Svalbard) et ressemble à ceci:



Il s'est également avéré qu'il était situé en Norvège, et tout cela ensemble a commencé à ressembler à un nom propre, à commencer par l'analogie évidente du stockage d'un grand nombre d '«unités». Il y a quelques années, une vidéo cool qui dit que la capacité du World Repository est d'environ un milliard de graines - pas autant d'enregistrements que dans HIBP, mais vous comprenez l'idée. Il y a donc un nom: c'est un peu étrange. Svalbard est difficile à prononcer pour ceux qui ne connaissent pas le mot (bien que cette vidéo aide ), tout comme ... pwned. Et enfin, la Norvège est d'une grande importance pour moi: il y a près de cinq ans, ma première performance à l'étranger s'est déroulée là-bas. J'ai parlé devant une salle bondée, et quand le public est parti, chacun a jeté une carte verte dans la boîte.


Ce fut un tournant dans ma carrière. En janvier de cette année, j'étais de nouveau en Norvège, quand HIBP est devenu fou, comme vous l'avez vu dans le tableau précédent. C'était là, dans une petite cabane en rondins au milieu de la neige, j'ai réalisé qu'il était temps pour HIBP de grandir. Et par pure coïncidence, je publie aujourd'hui à nouveau cet article en provenance de Norvège, étant venu au NDC Oslo pour la sixième année consécutive. Comme vous pouvez le voir, Svalbard est un bon nom.

Mon engagement pour l'avenir de HIBP

Alors, qu'est-ce que cela signifie si une autre entreprise acquiert HIBP? Honnêtement, je ne sais pas exactement à quoi cela ressemblera, alors partageons ouvertement mes réflexions pour aujourd'hui, et il y a des points vraiment importants que je veux souligner:

1. La recherche d'utilisateurs doit rester gratuite . Le service a connu un tel succès car j'ai garanti l'absence de toute barrière pour les personnes qui recherchent leurs données. Et je veux absolument que ça reste comme ça. Par conséquent, cet élément passe au numéro 1.
   
2. Je resterai membre de la HIBP . J'ai l'intention de faire partie de la transaction, c'est-à-dire que l'entreprise me recevra avec le projet. La marque HIBP est inextricablement liée à la mienne, et je dois rester maintenant.
   
3. Je veux implémenter avec compétence beaucoup plus de fonctions . Il y a des tonnes de choses que je veux faire avec HIBP, et je ne pouvais pas les faire moi-même. Il s'agit d'un projet avec un énorme potentiel au-delà de ce qui a déjà été réalisé, et j'ai l'intention de le faire.
   
4. Je veux toucher un public beaucoup plus large que maintenant . Maintenant, le public est énorme, mais ce n'est encore qu'un tout petit nombre d'utilisateurs qui doivent être informés des fuites de leurs données personnelles.
   
5. Beaucoup plus peut être fait pour changer le comportement des consommateurs . Le détournement de compte automatisé ( bourrage des informations d'identification ) est un énorme problème à l'heure actuelle, et il n'existe qu'en raison de la réutilisation des mots de passe. Je veux que HIBP joue un rôle beaucoup plus important en changeant la façon dont les gens gèrent leurs comptes.
   
6. Les organisations peuvent bénéficier beaucoup plus de HIBP . Après le paragraphe précédent, les services aux utilisateurs peuvent mieux protéger leurs clients contre cette forme d'attaque, et les données de HIBP peuvent jouer un rôle important (et certaines organisations profitent déjà de cette opportunité).
   
7. Il devrait y avoir plus d'ouverture - et plus de données . J'ai déjà mentionné la lourdeur de la responsabilité de révéler le fait de pirater, et Svalbard permet de le réparer. Un tas d'organisations ne savent pas qu'elles ont été piratées, tout simplement parce que je n'ai pas eu le temps de m'occuper de tout cela.

J'ai une compréhension claire de ce que des organisations spécifiques peuvent aider sur ces points. Il y a aussi un deuxième groupe, auquel j'ai beaucoup de respect, mais qui est le moins bien équipé pour y parvenir. À mesure que le processus évolue, KPMG aidera à déterminer plus clairement quelles organisations appartiennent à la première catégorie. Je suis sûr que vous pouvez imaginer qu'il y a des discussions très sérieuses: comment HIBP s'intégrera dans l'entreprise, comment ils m'aideront à atteindre ces objectifs et si cette entreprise convient à un service aussi précieux que HIBP. J'ai quelques considérations personnelles importantes, y compris avec qui je me sens à l'aise de travailler, un horaire gratuit et, bien sûr, le côté financier. Pour être honnête, c'est tout aussi stimulant et excitant.

Avant de publier cet article, j'ai contacté toutes les parties intéressées susceptibles d'être pertinentes pour le projet Svalbard. J'ai expliqué mes motivations et ma vision de l'avenir de HIBP: que le projet devrait non seulement devenir plus fiable, mais aussi renforcer considérablement son influence sur la situation avec les fuites massives de données. Cela a déjà conduit à des discussions très productives avec des organisations qui pourraient aider HIBP à avoir un impact beaucoup plus positif sur l'industrie. Ce processus a suscité beaucoup d'enthousiasme et de soutien, ce qui est encourageant.

Vous pouvez demander, pourquoi ne pas enregistrer une société commerciale et simplement ne pas embaucher de personnes? Bien sûr, j'ai eu l'occasion de financer l'entreprise soit par moi-même, soit par le biais de divers investisseurs en capital-risque qui m'avaient frappé pendant de nombreuses années. Mais je ne l'ai pas fait, car une entreprise commerciale augmente considérablement mes responsabilités, alors que j'avais besoin du contraire. À partir de ce jour, je ne pouvais plus partir pendant une semaine, et si j'essayais de me déconnecter même pour une journée, je m'inquiéterais constamment de manquer quelque chose d'important. Au fil du temps, la création d'une entreprise peut me permettre de me détendre, mais seulement après avoir investi beaucoup de temps (et d'argent), et ce n'est pas ce dont on a besoin pour le moment.

Résumé

Je suis extrêmement enthousiasmé par le potentiel du projet Svalbard. Dans ces premières discussions avec d'autres organisations, je commence déjà à voir comment les contours d'une meilleure gestion de l'ensemble de l'écosystème dans le domaine des fuites de données apparaissent. Imaginez un avenir dans lequel je pourrais recevoir et traiter beaucoup plus de données, contacter activement les organisations concernées, les aider dans le processus de résolution de l'incident, aider les utilisateurs comme vous et moi à mieux comprendre ce qui se passe (et ce qu'il faut faire à ce sujet) et, en En fin de compte, réduisez les dommages causés par ces fuites aux organisations et aux utilisateurs. Et cela va beaucoup plus loin, car après la fuite, vous pouvez faire beaucoup plus, en particulier dans la lutte contre les attaques comme le détournement automatique de comptes à la vitesse que nous constatons de nos jours. Je suis vraiment satisfait du succès de HIBP, mais jusqu'à présent, ce n'est que la pointe de l'iceberg.

J'ai pris cette décision lorsque j'ai le plein contrôle sur le processus. Je ne suis soumis à aucune pression (sauf pour une charge de travail élevée, bien sûr), et j'ai le temps pour la recherche de l'acheteur de suivre son cours et de trouver le meilleur candidat pour le projet. Et comme toujours avec HIBP, je continue de tout faire en toute transparence, en décrivant ce processus en détail ici. Je reconnais vraiment la confiance des utilisateurs et chaque jour ils me rappellent la responsabilité qui accompagne cette confiance.

HIBP a moins de six ans, mais c'est l'aboutissement du travail de toute ma vie. Je me souviens encore très bien du début des années 90, lorsque j'ai commencé à créer des logiciels pour Internet et que je rêvais de créer quelque chose de grand: «N'est-il pas surprenant de m'asseoir ici à la maison et d'écrire du code qui un jour peut avoir un réel impact le monde entier? " J'ai eu quelques faux départs et il a fallu une combinaison de facteurs pour faire de HIBP ce qu'il est aujourd'hui, et c'est exactement ce que j'espérais. Le projet Svalbard est la réalisation de ce rêve, et je suis extrêmement enthousiasmé par les opportunités qui en découleront.