Pada 2013, saya mulai menyadari bahwa kebocoran data pribadi menjadi ada di mana-mana. Memang, kasus seperti ini menjadi lebih sering. Dan pengaruh kebocoran ini pada korban mereka, termasuk saya, telah meningkat. Semakin banyak, saya menulis di blog tentang topik ini, yang tampaknya merupakan segmen yang menarik dari industri keamanan informasi: bagaimana penggunaan kembali kata sandi di Gawker dan Twitter menyebabkan spam blueberry besar di Twitter , dan bahwa kata sandi pengguna Sony Pictures ternyata benar-benar seburuk mungkin. yang diharapkan dari orang-orang ini , tapi sial, masih mengejutkan melihat kata sandi Anda dalam database yang bocor ini. Pada saat yang sama, 59% kata sandi dari basis data Sony bertepatan dengan kata sandi dari kotak surat Yahoo .

Sekitar waktu itu, Adobe membocorkan data, dan itu membuat saya benar - benar tertarik pada segmen industri ini, paling tidak karena saya berada di database itu. Dua kali Yang paling penting, itu mengandung 153 juta orang. Itu adalah kebocoran yang sangat besar, bahkan menurut standar saat ini. Semua ini bersama-sama - tingkat kebocoran, analisis database saya dan skala Adobe - membuat saya bertanya-tanya: Saya ingin tahu berapa banyak orang yang tahu? Apakah mereka mengerti bahwa data mereka tersedia untuk umum? Apakah mereka mengerti berapa kali ? Dan, mungkin yang paling penting: apakah mereka mengubah kata sandi mereka (ya, hampir selalu satu-satunya) di layanan lain yang mereka gunakan? Maka proyek Have I Been Pwned (HIBP) lahir: menemukan kata sandi Anda di banyak basis yang bocor.

Biarkan saya berbicara secara singkat tentang urusan layanan saat ini. Ada hampir 8 miliar catatan dalam database, hampir 3 juta orang mendaftar untuk pemberitahuan, saya mengirim orang 7 juta pesan tentang kebocoran data mereka, 120 ribu orang lainnya memantau domain, mereka membuat 230 ribu permintaan pencarian dan saya mengirim mereka 1 lagi melalui surat, 1 juta notifikasi. Pada hari normal, situs ini memiliki 150.000 pengunjung unik, 10 juta pada hari tidak normal, beberapa juta lebih banyak hits API dan 10 juta permintaan pencarian. Tetapi sekarang bahkan jumlah ini terlampaui:


Omong-omong, layanan ini memiliki pelanggan komersial yang bergantung pada HIBP. Ini adalah berbagai perusahaan yang sudah menginformasikan pelanggan mereka . Dan ada pemerintah di seluruh dunia yang menggunakan HIBP untuk melindungi departemen mereka, lembaga penegak hukum yang menggunakannya untuk penyelidikan mereka, dan segala macam penggunaan lain yang tidak pernah saya lihat atau bahkan bayangkan . Dan hari ini, setiap baris kode, setiap konfigurasi dan setiap akun yang bocor diproses oleh saya secara pribadi. Tidak ada "tim HIBP," ada satu orang yang menjaga semuanya tetap bertahan.




Ketika saya membutuhkan infografis untuk menjelaskan arsitekturnya, saya duduk dan melakukan semuanya sendiri . Saya sendiri menemukan kode sumber dari setiap logo perusahaan yang diretas, memotongnya, mengubah ukuran dan mengoptimalkannya. Setiap kali saya mengungkapkan informasi tentang meretas perusahaan yang tidak mengetahuinya, saya harus menyelesaikan banyak masalah, dan saya juga menanganinya (percayalah, butuh banyak waktu dan ternyata menjadi hambatan utama dan hambatan utama untuk mengunduh data baru). Setiap wawancara di media, setiap permintaan dukungan dan, terus terang, hampir semua yang Anda bayangkan, dilakukan hanya oleh satu orang di waktu luangnya. Ini bukan hanya masalah beban; Saya menjadi semakin sadar akan fakta bahwa saya menjadi satu-satunya titik kegagalan. Dan itu perlu diubah.

Saatnya untuk dewasa

Itu adalah pengantar yang panjang, tetapi saya ingin menggambarkan situasi untuk sampai ke titik secara logis: HIBP saatnya untuk tumbuh. Sudah waktunya untuk beralih dari satu pria melakukan apa yang dia bisa, di waktu luangnya, ke struktur yang lebih banyak sumber daya dan lebih baik yang dapat melakukan lebih banyak daripada yang saya bisa sendiri. Untuk lebih memahami mengapa saya menulis ini sekarang, mari bagikan gambar dengan Google Analytics:



Grafik menampilkan 12 bulan hingga 18 Januari tahun ini, dan lonjakan sesuai dengan pemuatan akun dari Koleksi # 1 . Ini juga sesuai dengan hari ketika saya pergi ke Eropa untuk beberapa minggu konferensi "bisnis biasa", yang didahului oleh beberapa hari berbicara dengan putra saya yang berusia 9 tahun dan teman-teman baik di gubuk kayu di tengah salju Norwegia. Saya dibombardir secara tak terduga dengan email, tweet, dan panggilan telepon pada setiap saluran yang bisa dibayangkan karena perhatian besar yang diterima HIBP di seluruh dunia. Dan saya mematikan semua gadget, duduk di dekat perapian kecil, menikmati minuman dan percakapan yang baik. Pada saat itu, saya menyadari bahwa saya sangat dekat dengan kelelahan. Saya cukup yakin bahwa saya belum kehabisan tenaga, tetapi juga menyadari bahwa saya dapat melihat momen ini dalam waktu yang tidak terlalu lama jika saya tidak membuat beberapa perubahan penting dalam hidup saya (saya ingin membicarakan hal ini di masa depan, karena di sini ada beberapa pelajaran yang cukup penting, tapi sekarang saya ingin membangun konteks dalam kaitannya dengan waktu dan memberi tahu apa yang akan terjadi selanjutnya). Semua ini terjadi pada saat yang sama ketika saya keliling dunia, berbicara di acara-acara, mengadakan seminar dan melakukan sejuta hal lainnya sehingga kehidupan terus berjalan.

Sejujurnya, itu adalah tahun yang sangat sibuk. Perhatian tambahan yang HIBP mulai terima pada bulan Januari tidak pernah kembali ke tingkat 2018, itu hanya terus tumbuh dan tumbuh. Saya membuat berbagai perubahan untuk beradaptasi dengan beban kerja. Mungkin salah satu yang paling jelas adalah penurunan besar-besaran dalam partisipasi di jejaring sosial, terutama di Twitter:



Hingga Desember tahun lalu, saya mentweet rata-rata 1.141 kali sebulan (karena alasan tertentu, fungsi ekspor tidak termasuk Mei dan Juni 2017 dan hanya setengah Juli, jadi saya menghilangkan bulan-bulan ini pada grafik). Dari Februari hingga Mei tahun ini, jumlahnya turun menjadi 315, yaitu, dari Januari saya menolak jejaring sosial sebesar 72%. Ini mungkin tampak seperti fakta sembrono, tetapi ini adalah angka yang signifikan yang secara langsung terkait dengan dampak pada kehidupan saya yang memperhatikan HIBP. Hal yang sama jika Anda melihat statistik posting blog. Saya menerbitkan video mingguan secara religius, tetapi saya harus mengurangi semua posting teknis lainnya yang saya sukai dalam dekade terakhir.

Ketika saya kembali dari perjalanan ini, saya sesekali berbincang dengan beberapa organisasi yang saya pikir mungkin tertarik untuk membeli HIBP. Ini adalah percakapan dalam suasana yang nyaman dengan kenalan, sehingga situasinya tidak menimbulkan tekanan. Ini bukan pertama kalinya saya melakukan diskusi seperti itu - saya sudah melakukan ini beberapa kali ketika organisasi menghubungi dan bertanya apa minat saya dalam penjualan itu - tetapi ini adalah pertama kalinya sejak overhead mengelola layanan melampaui jadwal. Ada antusiasme tulus yang besar, tetapi saya segera menyadari bahwa ketika sampai pada diskusi semacam ini, di sini saya adalah orang awam. Tentu saja, saya dapat memproses miliaran entri yang sudah di-jailbreak dan menjalankan layanan online sendiri yang digunakan oleh ratusan juta orang, tetapi ini adalah permainan yang sama sekali berbeda. Saatnya memanggil bantuan.

Proyek Svalbard

Kembali pada bulan April, selama percakapan biasa dengan orang-orang dari KPMG tentang beberapa hal keuangan biasa (saya secara teratur bertemu dengan konsultan, karena kondisi keuangan saya sendiri menjadi lebih sulit ), mereka menyarankan untuk berbicara dengan staf departemen M&A mereka tentang menemukan yang baru Rumah untuk HIBP. Sangat mudah bagi saya untuk melakukan ini: kami memiliki hubungan jangka panjang, dan mereka tidak hanya memahami esensi HIBP, tetapi juga hal-hal sensitif lainnya yang saya lakukan secara online. Ini adalah keputusan yang mudah: Saya membutuhkan bantuan, dan mereka memiliki pengalaman yang tepat dan keahlian yang tepat.

Bertemu dengan orang-orang ini, dengan cepat menjadi jelas dukungan apa yang benar-benar saya butuhkan. Hal utama yang saya sadari adalah bahwa saya tidak pernah mengambil waktu untuk mundur dan melihat apa yang sebenarnya dilakukan HIBP. Ini mungkin tampak aneh, tetapi karena proyek ini telah tumbuh secara organik selama bertahun-tahun, dan saya membangunnya sebagai tanggapan atas kombinasi kebutuhan yang mendesak, saya tidak menemukan waktu untuk mundur dan melihat secara holistik pada semua ini. Dan saya tidak punya cukup waktu untuk melihat apa yang bisa dia lakukan. Nanti saya akan kembali ke topik ini - berapa banyak peluang untuk berbuat lebih banyak, dan saya benar-benar membutuhkan dukungan dari orang-orang yang berpengalaman dalam bisnis.

Salah satu tugas pertama adalah mencari nama proyek yang akan dijual: ternyata, begini caranya. Ada banyak opsi kitsch yang sangat banyak dan banyak lainnya yang bergantung pada kata kunci buzz, dan kemudian saya berpikir: ingat penyimpanan benih besar-besaran di luar Lingkaran Arktik ini? Saya melihat tautan ke sana sebelumnya, dan gagasan tentang gudang besar yang menyimpan sesuatu yang berharga untuk membantu umat manusia mulai benar-benar beresonansi. Ternyata tempat ini disebut Svalbard (World Seed Store on Svalbard) dan terlihat seperti ini:



Ternyata itu terletak di Norwegia, dan semua ini bersama-sama mulai terdengar seperti nama yang tepat, dimulai dengan analogi yang jelas tentang menyimpan sejumlah besar "unit". Ada video keren yang difilmkan beberapa tahun lalu yang mengatakan bahwa World Warehouse memiliki kapasitas sekitar satu miliar benih - tidak sebanyak catatan di HIBP, tetapi Anda memahami idenya. Jadi ada namanya: agak aneh. Svalbard sulit diucapkan untuk mereka yang tidak terbiasa dengan kata (meskipun video ini membantu ), sama seperti ... pwned. Dan akhirnya, Norwegia sangat penting bagi saya: hampir lima tahun yang lalu, penampilan asing pertama saya terjadi di sana. Saya berbicara di depan sebuah ruangan yang penuh sesak, dan ketika para penonton pergi, masing-masing dari mereka melemparkan kartu nilai hijau ke dalam kotak.


Ini adalah titik balik dalam karier saya. Pada bulan Januari tahun ini, saya kembali berada di Norwegia, ketika HIBP benar-benar menjadi gila, seperti yang Anda lihat pada grafik sebelumnya. Itu ada di sana, di sebuah pondok kayu kecil di tengah-tengah salju, saya menyadari bahwa sudah waktunya bagi HIBP untuk tumbuh dewasa. Dan secara kebetulan, hari ini saya menerbitkan artikel ini lagi dari Norwegia, datang ke NDC Oslo selama enam tahun berturut-turut. Seperti yang Anda lihat, Svalbard adalah nama yang bagus.

Komitmen saya terhadap masa depan HIBP

Jadi apa artinya jika perusahaan lain mengakuisisi HIBP? Sejujurnya, saya tidak tahu persis bagaimana tampilannya, jadi mari kita secara terbuka membagikan pemikiran saya untuk hari ini, dan ada beberapa poin yang sangat penting yang ingin saya tekankan:

1. Pencarian untuk pengguna harus tetap gratis . Layanan ini sangat sukses karena saya menjamin tidak adanya hambatan bagi orang yang mencari data mereka. Dan saya benar-benar ingin itu tetap seperti itu. Karena itu, item ini ada di nomor 1.
   
2. Saya akan tetap menjadi bagian dari HIBP . Saya bermaksud menjadi bagian dari transaksi, yaitu, perusahaan akan menerima saya bersama dengan proyek. Merek HIBP terkait erat dengan milik saya, dan saya harus tetap sekarang.
   
3. Saya ingin kompeten mengimplementasikan lebih banyak fungsi . Ada banyak hal yang ingin saya lakukan dengan HIBP, dan tidak bisa melakukannya sendiri. Ini adalah proyek dengan potensi besar di luar apa yang telah dicapai, dan saya bermaksud melakukannya.
   
4. Saya ingin menjangkau audiens yang jauh lebih besar dari sekarang . Sekarang audiens sangat besar, tetapi masih ini hanya sebagian kecil dari pengguna yang perlu diberitahu tentang kebocoran data pribadi mereka.
   
5. Banyak lagi yang bisa dilakukan untuk mengubah perilaku konsumen . Pembajakan akun otomatis ( isian kredensial ) adalah masalah besar saat ini, dan itu hanya ada karena penggunaan kembali kata sandi. Saya ingin HIBP memainkan peran yang jauh lebih besar dalam mengubah cara orang mengelola akun mereka.
   
6. Organisasi dapat memperoleh manfaat lebih banyak dari HIBP . Mengikuti paragraf sebelumnya, layanan pengguna dapat melindungi pelanggan mereka jauh lebih baik dari bentuk serangan ini, dan data dari HIBP dapat memainkan peran penting (dan beberapa organisasi sudah mengambil peluang ini).
   
7. Harus ada lebih banyak keterbukaan - dan lebih banyak data . Saya telah menyebutkan betapa beratnya tanggung jawab untuk mengungkapkan fakta peretasan, dan Svalbard memungkinkan untuk memperbaikinya. Sejumlah besar organisasi tidak tahu bahwa mereka diretas, hanya karena saya tidak punya waktu untuk berurusan dengan semua ini.

Saya memiliki pemahaman yang jelas tentang apa organisasi tertentu dapat membantu dengan poin-poin ini. Ada juga kelompok kedua, yang sangat saya hormati, tetapi yang lebih buruk siap untuk membantu mencapai hal ini. Seiring proses berkembang, KPMG akan membantu untuk lebih jelas menentukan organisasi mana yang termasuk dalam kategori pertama. Saya yakin Anda dapat membayangkan bahwa ada diskusi yang sangat serius: bagaimana HIBP akan masuk ke dalam perusahaan, bagaimana mereka akan membantu saya mencapai tujuan-tujuan ini dan apakah perusahaan ini cocok untuk layanan yang sangat berharga seperti HIBP. Saya memiliki beberapa pertimbangan pribadi yang penting, termasuk dengan siapa saya merasa nyaman bekerja dengan, jadwal bebas, dan, tentu saja, sisi keuangan. Sejujurnya, ini sama menantang dan mengasyikkan.

Sebelum menerbitkan artikel ini, saya menghubungi semua pihak yang berkepentingan yang mungkin relevan dengan proyek Svalbard. Saya menjelaskan motif dan pandangan saya tentang masa depan HIBP: bahwa proyek tidak hanya menjadi lebih dapat diandalkan, tetapi juga secara signifikan memperkuat pengaruhnya terhadap situasi dengan kebocoran data yang besar. Ini telah menyebabkan beberapa diskusi yang sangat produktif dengan organisasi yang dapat membantu HIBP memiliki dampak yang jauh lebih positif pada industri. Ada antusiasme dan dukungan yang besar untuk proses ini, yang membesarkan hati.

Anda mungkin bertanya, mengapa tidak mendaftarkan perusahaan komersial dan tidak mempekerjakan orang? Tentu saja, saya memiliki kesempatan untuk membiayai perusahaan baik saya sendiri atau melalui berbagai pemodal ventura yang telah mengetuk saya selama bertahun-tahun. Tetapi saya tidak melakukannya, karena perusahaan komersial secara signifikan meningkatkan tanggung jawab saya, sementara saya membutuhkan yang sebaliknya. Mulai hari ini saya tidak bisa hanya pergi selama seminggu, dan jika saya mencoba memutuskan hubungan bahkan selama sehari, saya akan terus-menerus khawatir bahwa saya akan kehilangan sesuatu yang penting. Seiring waktu, penciptaan perusahaan dapat membuat saya rileks, tetapi hanya setelah menginvestasikan sejumlah besar waktu (dan uang), dan ini bukan yang dibutuhkan saat ini.

Ringkasan

Saya sangat gembira dengan potensi proyek Svalbard. Dalam diskusi awal ini dengan organisasi lain, saya sudah mulai melihat bagaimana garis besar manajemen yang lebih baik dari seluruh ekosistem di bidang kebocoran data muncul. Bayangkan masa depan di mana saya dapat menerima dan memproses lebih banyak data, secara aktif menghubungi organisasi yang terkena dampak, membantu mereka dalam proses penyelesaian insiden, membantu pengguna seperti Anda dan saya lebih memahami apa yang terjadi (dan apa yang harus dilakukan tentang hal itu) dan, di Pada akhirnya, kurangi bahaya dari kebocoran tersebut ke organisasi dan pengguna. Dan ini berjalan lebih jauh, karena setelah kebocoran Anda dapat melakukan lebih banyak lagi, terutama dalam perang melawan serangan seperti pembajakan akun secara otomatis dengan kecepatan tinggi yang kita lihat hari ini. Saya sangat senang dengan keberhasilan HIBP, tetapi sejauh ini ini hanyalah puncak gunung es.

Saya membuat keputusan ini ketika saya memiliki kontrol penuh atas proses. Saya tidak di bawah tekanan apa pun (kecuali untuk beban kerja yang tinggi, tentu saja), dan saya punya waktu untuk mencari pembeli untuk mengikuti kursus mereka dan menemukan kandidat terbaik untuk proyek tersebut. Dan seperti biasa dengan HIBP, saya terus melakukan semuanya dengan transparansi penuh, menjelaskan proses ini secara rinci di sini. Saya benar-benar mengenali kepercayaan pengguna dan setiap hari mereka mengingatkan saya pada tanggung jawab yang menyertai kepercayaan ini.

HIBP berusia kurang dari enam tahun, tetapi merupakan puncak dari pekerjaan seumur hidup saya. Saya masih ingat dengan jelas awal tahun 90-an, ketika saya pertama kali mulai membuat perangkat lunak untuk Internet dan bermimpi menciptakan sesuatu yang besar: “Apakah tidak mengejutkan bahwa saya duduk di sini di rumah dan menulis kode bahwa suatu hari nanti dapat berdampak nyata pada seluruh dunia? " Saya memiliki beberapa kesalahan awal dan butuh kombinasi faktor untuk membuat HIBP seperti sekarang ini, dan itulah yang saya harapkan. Proyek Svalbard adalah realisasi dari mimpi ini, dan saya sangat gembira dengan peluang yang akan muncul sebagai hasilnya.