2013年，我开始意识到私有数据泄漏无处不在。 实际上，这种情况已经变得更加频繁。 这些泄漏对包括我在内的受害者的影响也增加了。 我越来越多地在有关此主题的博客上写文章，该博客似乎是信息安全行业的一个引人入胜的部分：如何在Gawker和Twitter上重复使用密码导致Twitter上出现大量蓝莓垃圾邮件 ，而且Sony Pictures用户的密码实际上确实尽可能地糟糕期望得到这些人的期望 ，但该死的，在这个泄漏的数据库中看到您的密码仍然令人震惊。 同时， Sony数据库中59％的密码与Yahoo邮箱中的密码一致 。

大约在那个时候，Adobe正在泄漏数据，这使我对这个行业非常感兴趣，尤其是因为我在那个数据库中。 两次 最重要的是，它包含了1.53亿其他人。 即使按照今天的标准，这也是一次巨大的泄漏。 所有这一切-泄漏率，数据库分析和Adobe规模-使我感到奇怪：我想知道有多少人知道？ 他们是否了解自己的数据是公开可用的？ 他们了解多少次 ？ 并且，也许最重要的是：他们是否在使用的其他服务中更改了密码（是的，几乎总是唯一的密码）？ 因此， “我曾经被拥有” （HIBP）项目诞生了：在许多泄漏的基础中找到您的密码。

让我简要谈一谈该服务的时事。 数据库中有近80亿条记录，近300万人注册了通知，我向人们发送了700万条有关其数据泄漏的消息，另外有12万人监视了域，他们进行了23万次搜索查询，我又通过邮件发送了1条， 1百万条通知。 在正常的一天中，该网站有15万名唯一身份访问者，在异常的一天中有1000万人次，API命中次数超过几百万，搜索查询次数则为1000万。 但是现在甚至超过了这些数字：


顺便说一句，该服务具有依赖HIBP的商业用户 。 这些公司已经通知了他们的客户。 全世界都有使用HIBP保护其部门的政府 ，使用HIBP进行调查的执法机构以及我从未见过或什至无法想象的各种其他用途 。 今天，我亲自处理每行代码，每项配置和每一个泄漏的帐户。 没有“ HIBP团队”，只有一个人能全力以赴。




当我需要图表来解释架构时，我坐下来自己做所有事情 。 我本人找到了被砍公司的每个徽标的源代码，对其进行了裁剪，调整大小和优化。 每次我披露有关黑客公司的信息时，我都不得不提出很多问题，而且我也要处理（相信我，这要花很多时间，结果是下载新数据的主要瓶颈和主要障碍）。 媒体上的每一次采访，每一次支持的请求，以及坦率地说，几乎您能想象到的一切，都是由一个人在业余时间完成的。 这不仅仅是负载问题； 我越来越意识到我成为唯一的失败点。 并且需要更改。

是时候长大了

这是一篇很长的介绍，但我想描述一下这种情况，以便从逻辑上讲到重点：HIBP是时候成长了。 现在是时候从一个人在空余时间做自己想做的事情转变为一个资源更丰富，资金更充裕的结构，该结构所能完成的工作比我自己一个人要多得多。 为了更好地理解为什么我现在要写这篇文章，让我们与Google Analytics（分析）共享图像：



该图显示直到今年1月18日为止的12个月，并且该激增对应于从Collection＃1加载帐户 。 这也对应于我去欧洲参加为期数周的“普通商务”会议的那天，在此之前，我与我9岁的儿子和好朋友在挪威大雪中的木制小屋里聊了几天。 由于HIBP在世界各地引起了极大的关注，在每个可以想象的频道上，我都受到电子邮件，推文和电话的空前轰炸。 然后我关掉了所有的小工具，坐在小壁炉旁，享受着饮料和良好的交谈。 那一刻，我意识到自己已经快要筋疲力尽了。 我很确定自己还没有精疲力尽，但是我也意识到，如果我不对自己的生活进行一些重要的改变，那么我可以在不远的将来看到这一刻（我想在以后谈论这一点，因为这是一些非常重要的课程，但现在我想建立一个与时间有关的上下文，并告诉接下来会发生什么。 所有这些都是在我环游世界，在活动上发言，进行研讨会以及做一百万其他事情的同时发生的，以使生活得以继续。

老实说，这是非常忙的一年。 HIBP在1月开始受到的额外关注从未恢复到2018年的水平，它只是继续增长。 我进行了各种更改以适应工作量。 也许最明显的现象之一是社交网络（尤其是Twitter）的参与率大幅下降：



直到去年12月，我平均每个月发了1141次推文（由于某种原因，出口功能不包括2017年5月和6月，仅包括7月的一半，因此我在图表上省略了这几个月）。 从今年2月到5月，这个数字下降到315，也就是说，从1月起，我拒绝了72％的社交网络。 这看似无足轻重的事实，但这是一个很大的数字，与关注HIBP对我的生活有直接影响。 如果您查看博客文章的统计信息，也是如此。 我虔诚地发布每周视频，但是我不得不减少过去十年来我喜欢写的所有其他技术帖子。

当我从这次旅行中回来时，我偶尔与几个我认为可能对购买HIBP有兴趣的组织进行了交谈。 这些都是在相处融洽的气氛中进行的，因此情况不会造成任何压力。 这不是我第一次进行这样的讨论-当组织联系并询问我对销售有什么兴趣时，我已经做过几次了-但这是自管理服务的开销超出了第一次时间表。 确实有极大的热情，但是我很快意识到，在进行这种讨论时，我是一个完全的外行。 当然，我可以处理数十亿越狱条目并仅运行供数亿人使用的在线服务，但这是一个完全不同的游戏。 是时候寻求帮助了。

斯瓦尔巴特计划

早在4月，在与毕马威（KPMG）的人员进行定期对话时，他们就一些普通的财务问题进行了交谈（由于我自己的财务状况越来越困难 ，我定期与顾问会面），他们建议与并购部门的员工讨论寻找新的财务问题的方法。 HIBP的家。 我这样做很方便：我们有着长期的合作关系，他们不仅了解HIBP的本质，而且了解我在网上不断做的其他敏感事情。 这是一个简单的决定：我需要帮助，他们拥有正确的经验和正确的专业知识。

与这些人见面后，很快就清楚了我真正需要哪种支持。 我意识到的主要事情是，我从未花时间退后一步，看看HIBP的实际作用。 这看起来似乎很奇怪，但是由于该项目多年来已经有机地发展了，并且我是根据迫切需求而构建的，所以我没有时间退后一步，对这一切进行整体研究。 而且我没有足够的时间去看他能做什么。 稍后，我将回到这个主题-有多少机会做更多的事情，而且我确实需要精通业务的人们的支持。

首要任务之一是想出要出售的项目的名称：显然，这是完成工作的方式。 有很多可怕的媚俗选择，还有许多依赖流行语infobes，然后我想到：还记得北极圈以外的大量种子存储吗？ 我以前看到过它的链接，而建立一个巨大的存储库来存储有价值的东西以帮助人类的想法开始引起人们的共鸣。 原来， 这个地方叫做Svalbard （ 斯瓦尔巴特群岛上的世界种子商店），看起来像这样：



事实证明，它位于挪威，所有这一切听起来都像是专有名词，从明显地比喻为存储大量“单位”开始。 几年前有一段很酷的录像 ，上面写着世界存储库的容量约为10亿个种子-记录不如HIBP，但您了解这个想法。 所以有个名字：有点奇怪。 对于那些不熟悉这个词的人来说，斯瓦尔巴特语很难发音（尽管此视频有帮助 ），就像...伪造的一样。 最后，挪威对我来说非常重要：大约五年前，我第一次在国外演出是在那儿。 我在一个拥挤的房间前面讲话，当观众离开时，他们每个人都向盒子里扔了一张绿色的评分卡。


这是我职业的转折点。 正如您在上一张图表中看到的那样，今年1月，我再次来到挪威，当时HIBP确实发疯了。 在那儿，在积雪中的一个小木屋里，我意识到是HIBP成长的时候了。 碰巧的是，今天我已经连续第六年在NDC奥斯陆从挪威再次发表这篇文章。 如您所见，斯瓦尔巴特群岛是个好名字。

我对HIBP未来的承诺

那么，如果另一家公司收购HIBP是什么意思呢？ 老实说，我不知道它的外观，所以让我们公开分享我今天的想法，我要强调一些非常重要的要点：

1. 搜索用户应保持免费 。 这项服务之所以如此成功，是因为我保证寻找数据的人不会遇到任何障碍。 我绝对希望它保持这种状态。 因此，该项目在第1位。
   
2. 我将继续参与HIBP 。 我打算成为交易的一部分，也就是说，公司将随项目一起接收我。 HIBP品牌与我的品牌密不可分，我现在必须留下。
   
3. 我想胜任地执行更多功能 。 我想对HIBP做很多事情，而我自己做不到。 这是一个潜力无限的项目，我已经打算做到。
   
4. 我想比现在吸引更多的听众 。 现在的受众非常多，但是仍然只有一小部分用户需要了解其个人数据的泄露情况。
   
5. 要改变消费者的行为，可以做更多的事情 。 目前，自动帐户劫持（ 凭证填充 ）是一个巨大的问题，并且仅由于密码重用而存在。 我希望HIBP在改变人们管理帐户的方式中发挥更大的作用。
   
6. 组织可以从HIBP中受益更多 。 在上一节之后，用户服务可以更好地保护其客户免受这种形式的攻击，并且HIBP的数据可以发挥重要作用（某些组织已经抓住了这个机会）。
   
7. 应该有更多的开放性和更多的数据 。 我已经提到了揭露黑客事实的责任是多么繁重，而斯瓦尔巴特群岛（Svalbard）使得修复它成为可能。 很多组织不知道自己被黑了，仅仅是因为我没有时间处理所有这些。

我对哪些组织可以提供这些帮助有清楚的了解。 还有一个第二组，我对此表示敬意，但他们却没有更好的条件来帮助实现这一目标。 随着流程的发展，毕马威会计师事务所将帮助您更清楚地确定哪些组织属于第一类。 我敢肯定，您可以想象得到非常认真的讨论：HIBP如何适合公司，它们如何帮助我实现这些目标，以及该公司是否适合像HIBP这样有价值的服务。 我有一些重要的个人考虑因素，包括我愿意与谁一起工作，自由安排时间，当然还有财务方面。 老实说，这同样具有挑战性和令人兴奋。

在发布本文之前，我联系了所有可能与Svalbard项目有关的感兴趣的方面。 我解释了我对HIBP未来的动机和看法：该项目不仅应变得更加可靠，而且还应通过大量数据泄漏显着增强其对情况的影响。 这已经导致与组织进行了一些真正富有成果的讨论，可以帮助HIBP对行业产生更积极的影响。 对此过程充满了热情和支持，这令人鼓舞。

您可能会问，为什么不注册商业公司而根本不雇用人呢？ 当然，我有机会自己或通过各种风险投资家为公司融资，这些风险投资家多年来一直困扰着我。 但是我没有，因为一家商业公司大大增加了我的职责，而我却需要相反的职责。 从这一天开始，我不能只离开一个星期，如果我什至试图断开一天的连接，我将一直担心自己会错过一些重要的事情。 随着时间的流逝，创建公司可以让我放松，但只有在投入了大量时间（和金钱）之后，这才是当前所需要的。

总结

我对斯瓦尔巴特群岛项目的潜力感到非常兴奋。 在与其他组织的这些早期讨论中，我已经开始看到如何在数据泄漏方面更好地管理整个生态系统。 想象一个未来，我可以接收和处理更多数据，积极联系受影响的组织，在解决事件的过程中帮助他们，帮助像您和我这样的用户更好地了解正在发生的事情（以及如何处理），以及最终，减少此类泄漏对组织和用户的危害。 而且这还可以做得更多，因为在泄漏之后，您可以做更多的事情，尤其是在对抗攻击方面，例如我们最近看到的高速自动劫持帐户。 我对HIBP的成功感到非常满意，但是到目前为止，这只是冰山一角。

当我完全控制过程时，便做出了此决定。 我没有任何压力（当然，除了工作量很大之外），我有时间寻找买家，让他们自己走自己的路，找到该项目的最佳人选。 与HIBP一样，我将继续以完全透明的方式进行所有操作，并在此详细描述此过程。 我真的认识到用户的信任，每天他们都使我想起这种信任所带来的责任。

HIBP不到六岁，但这是我一生工作的顶峰。 我仍然生动地记得90年代初，当我第一次开始为Internet创建软件并梦想创建一个大型的东西时：“难怪我坐在这里坐在家里写代码，有一天可以对整个世界？” 我有一些错误的开始，并且综合了多种因素才能使HIBP成为今天的样子，而这正是我所希望的。 斯瓦尔巴特群岛项目实现了这个梦想，我为由此带来的机遇感到非常兴奋。