Cómo me han convertido en pwned se convirtió en el guardián de las mayores violaciones de datos de Internet

Cómo me han convertido en pwned se convirtió en el guardián de las mayores violaciones de datos de Internet

Cuando Troy Hunt lanzó Have I Been Pwned a fines de 2013, quería que respondiera una pregunta simple: ¿Has sido víctima de una violación de datos?

Siete años más tarde, el servicio de notificación de violación de datos procesa miles de solicitudes cada día de usuarios que verifican si sus datos se vieron comprometidos, o con una ‘p’ dura, por los cientos de violaciones de datos en su base de datos, incluidas algunas de Las mayores infracciones de la historia. A medida que crece, ahora sentado justo debajo de la marca de 10 mil millones de registros violados, la respuesta a la pregunta original de Hunt es más clara.

“Empíricamente, es muy probable”, me dijo Hunt desde su casa en la Costa Dorada de Australia. “Para aquellos de nosotros que hemos estado en Internet por un tiempo, es casi una certeza”.

Lo que comenzó como el proyecto favorito de Hunt para aprender los conceptos básicos de la nube de Microsoft, Have I Been Pwned, explotó rápidamente en popularidad, impulsado en parte por su simplicidad de uso, pero en gran parte por la curiosidad de las personas.

A medida que el servicio creció, Have I Been Pwned asumió un rol de seguridad más proactivo al permitir que los navegadores y los administradores de contraseñas horneen en un canal posterior a Have I Been Pwned para advertir contra el uso de contraseñas previamente violadas en su base de datos. Fue un movimiento que también sirvió como un flujo de ingresos crítico para mantener bajos los costos de funcionamiento del sitio.

Pero el éxito de Have I Been Pwned se debe atribuir casi por completo a Hunt, tanto como su fundador y su único empleado, una banda de un solo hombre que ejecuta una startup poco convencional, que, a pesar de su tamaño y recursos limitados, genera ganancias.

A medida que la carga de trabajo necesaria para soportar Have I Been Pwned se disparó, Hunt dijo que la tensión de ejecutar el servicio sin ayuda externa comenzó a pasar factura. Había un plan de escape: Hunt puso el sitio a la venta. Pero, después de un año tumultuoso, está de vuelta donde comenzó.

Antes de su próximo gran hito de 10 mil millones, Have I Been Pwned no muestra signos de desaceleración.

“Madre de todas las infracciones”

Incluso mucho antes de Have I Been Pwned, Hunt no era ajeno a las violaciones de datos.

Para 2011, había cultivado una reputación de recopilar y diseccionar pequeñas, por el momento, violaciones de datos y blogs sobre sus hallazgos. Sus análisis detallados y metódicos mostraron una y otra vez que los usuarios de Internet estaban usando las mismas contraseñas de un sitio a otro. Entonces, cuando se violaba un sitio, los hackers ya tenían la misma contraseña para las otras cuentas en línea de un usuario.

Luego vino la violación de Adobe, la “madre de todas las violaciones”, como Hunt lo describió en ese momento: más de 150 millones de cuentas de usuarios habían sido robadas y flotaban en la web.

Hunt obtuvo una copia de los datos y, con un puñado de otras infracciones que ya había recopilado, las cargó en una base de datos que se puede buscar por la dirección de correo electrónico de una persona, que Hunt vio como el denominador más común en todos los conjuntos de datos vulnerados.

Y he nacido Pwned nació.

No pasó mucho tiempo hasta que su base de datos se hinchó. Los datos violados de Sony, Snapchat y Yahoo pronto siguieron, acumulando millones de registros más en su base de datos. ¿He sido Pwned pronto se convirtió en el sitio de acceso para comprobar si se ha violado? Los programas de noticias de la mañana explotarían su dirección web, lo que resultaría en un gran aumento en los usuarios, lo suficiente a veces como para desconectar brevemente el sitio. Desde entonces, Hunt ha agregado algunas de las infracciones más grandes en la historia de Internet: MySpace, Zynga, Adult Friend Finder y varias listas de spam enormes.

A medida que Have I Been Pwned creció en tamaño y reconocimiento, Hunt siguió siendo su único propietario, responsable de todo, desde organizar y cargar los datos en la base de datos hasta decidir cómo debería funcionar el sitio, incluida su ética.

Hunt adopta un enfoque de “qué creo que tiene sentido” para manejar los datos personales vulnerados de otras personas. Sin nada que comparar con Have I Been Pwned, Hunt tuvo que escribir las reglas sobre cómo maneja y procesa tantos datos de violación, muchos de ellos altamente sensibles. No afirma tener todas las respuestas, pero se basa en la transparencia para explicar su justificación, detallando sus decisiones en largas publicaciones de blog.

Su decisión de permitir que los usuarios solo busquen su dirección de correo electrónico tiene sentido lógico, impulsado por la única misión del sitio, en ese momento, de decirle a un usuario si se había violado. Pero también fue una decisión centrada en la privacidad del usuario que ayudó a proteger el servicio en el futuro contra algunos de los datos más sensibles y perjudiciales que recibiría.

En 2015, Hunt obtuvo la violación de Ashley Madison. Millones de personas tenían cuentas en el sitio, lo que alienta a los usuarios a tener una aventura. La violación llegó a los titulares, primero por la violación, y nuevamente cuando varios usuarios murieron por suicidio a su paso.

El hackeo de Ashley Madison fue uno de los más confidenciales en Have I Been Pwned, y finalmente cambió la forma en que Hunt abordaba las violaciones de datos que involucraban las preferencias sexuales de las personas y otros datos personales. (Foto AP / Lee Jin-man, Archivo)

Hunt se apartó de su enfoque habitual, muy consciente de sus sensibilidades. La brecha fue innegablemente diferente. Relató la historia de una persona que le contó cómo su iglesia local publicó una lista de los nombres de todos en la ciudad que estaban en la violación de datos.

“Claramente está emitiendo un juicio moral”, dijo, refiriéndose a la violación. “No quiero que haya sido Pwned para permitir eso”.

A diferencia de las brechas anteriores, menos sensibles, Hunt decidió que no permitiría que nadie buscara los datos. En cambio, creó una nueva característica que permite a los usuarios que verificaron sus direcciones de correo electrónico ver si se encontraban en infracciones más sensibles.

“Los propósitos para las personas que se encontraban en esa violación de datos eran mucho más matizados de lo que nadie pensaba”, dijo Hunt. Un usuario le dijo que estaba allí después de una ruptura dolorosa y que desde entonces se había vuelto a casar, pero luego fue etiquetado como adúltero. Otra dijo que creó una cuenta para atrapar a su esposo, sospechoso de hacer trampa, en el acto.

“Hay un punto en el que buscar públicamente representa un riesgo irrazonable para las personas, y hago un juicio al respecto”, explicó.

La violación de Ashely Madison reforzó su visión de mantener la menor cantidad de datos posible. Hunt frecuentemente recibe correos electrónicos de las víctimas de violación de datos que solicitan sus datos, pero él rechaza cada vez.

“Realmente no habría cumplido mi propósito cargar todos los datos personales en Have I Been Pwned y dejar que las personas busquen sus números de teléfono, sus sexualidades o lo que fue expuesto en varias violaciones de datos”, dijo Hunt.

“Si me han pwned me pwned, son solo direcciones de correo electrónico”, dijo. “No quiero que eso suceda, pero es una situación muy diferente si, por ejemplo, hubiera contraseñas”.

Pero esas contraseñas restantes no se han desperdiciado. Hunt también permite a los usuarios buscar más de medio billón de contraseñas independientes, lo que permite a los usuarios buscar para ver si alguna de sus contraseñas también ha aterrizado en Have I Been Pwned.

Cualquiera, incluso las empresas de tecnología, puede acceder a ese tesoro de contraseñas Pwned, lo llama. Los creadores de navegadores y los administradores de contraseñas, como Mozilla y 1Password, tienen acceso integrado a las contraseñas Pwned para ayudar a evitar que los usuarios utilicen una contraseña previamente violada y vulnerable. Los gobiernos occidentales, incluidos el Reino Unido y Australia, también confían en Have I Been Pwned para controlar las credenciales gubernamentales infringidas, que Hunt también ofrece de forma gratuita.

“Se está validando enormemente”, dijo. “Los gobiernos, en su mayor parte, están tratando de hacer cosas para mantener seguros a los países y las personas, trabajando bajo coacción extrema y no se les paga mucho”, dijo.

“Han surgido servicios similares. Han sido con fines de lucro, y han sido acusados ​​”.
Troy Hunt

Hunt reconoce que Have I Been Pwned, aunque la apertura y la transparencia son fundamentales para su funcionamiento, vive en un purgatorio en línea en el que cualquier otra circunstancia, especialmente en una empresa comercial, se estaría ahogando en obstáculos regulatorios y trámites burocráticos. Y aunque las compañías cuyos datos Hunt carga en su base de datos probablemente preferirían lo contrario, Hunt me dijo que nunca recibió una amenaza legal por ejecutar el servicio.

“Me gustaría pensar que Have I Been Pwned está en el lado legítimo de las cosas”, dijo.

Otros que han intentado replicar el éxito de Have I Been Pwned no han tenido tanta suerte.

“Ha habido servicios similares que han aparecido”, dijo Hunt. “Han sido con fines de lucro, y han sido acusados”, dijo.

LeakedSource fue, durante un tiempo, uno de los mayores vendedores de datos de incumplimiento en la web. Lo sé, porque mis informes rompieron algunos de sus mayores éxitos: el servicio de transmisión de música Last.fm, el sitio de citas para adultos AdultFriendFinder y el gigante ruso de Internet Rambler.ru, por nombrar algunos. Pero lo que llamó la atención de las autoridades federales fue que LeakedSource, cuyo operador luego se declaró culpable de los cargos relacionados con el tráfico de información de robo de identidad, vendió indiscriminadamente el acceso a los datos de violación de cualquier otra persona.

“Hay un caso muy legítimo para que un servicio brinde a las personas acceso a sus datos a un precio”.

Hunt dijo que “dormiría perfectamente bien” cobrando a los usuarios una tarifa por acceder a sus datos. “Simplemente no quisiera ser responsable de ello si sale mal”, dijo.

Proyecto Svalbard

Cinco años después de Have I Been Pwned, Hunt podía sentir el agotamiento que se avecinaba.

“Podría ver un punto en el que estaría si no cambiara algo”, me dijo. “Realmente parecía que para la sostenibilidad del proyecto, algo tenía que cambiar”.

Dijo que pasó de pasar una fracción de su tiempo en el proyecto a más de la mitad. Además de hacer malabarismos con el día a día, recolectando, organizando, deduplicando y cargando grandes cantidades de datos vulnerados, Hunt fue responsable de la totalidad del mantenimiento de la oficina administrativa del sitio, su facturación e impuestos, además de los suyos.

El plan para vender Have I Been Pwned se denominó en clave Proyecto Svalbard, llamado así por la bóveda de semillas de Norweigian que Hunt comparó a Have I Been Pwned, una enorme reserva de “algo valioso para el mejoramiento de la humanidad”, escribió anunciando la venta en junio de 2019. No sería tarea fácil.

Hunt dijo que la venta era para asegurar el futuro del servicio. También fue una decisión que tendría que asegurar la suya. “No están comprando Han sido Pwned, me están comprando”, dijo Hunt. “Sin mí, simplemente no hay trato”. En su publicación de blog, Hunt habló de su deseo de desarrollar el servicio y llegar a un público más amplio. Pero, me dijo, no se trataba del dinero

Como su único custodio, Hunt dijo que mientras alguien siguiera pagando las facturas, ¿habría sobrevivido? “Pero no había un modelo de supervivencia”, admitió. “Solo soy una persona que hace esto”.

Al vender Have I Been Pwned, el objetivo era un modelo más sostenible que le quitara la presión y, bromeó, el sitio no se derrumbaría si un tiburón lo comiera, un peligro laboral para vivir en Australia.

Pero, sobre todo, el comprador tenía que ser el complemento perfecto.

Hunt se reunió con docenas de compradores potenciales, y muchos en Silicon Valley. Sabía cómo sería el comprador, pero aún no tenía un nombre. Hunt quería asegurarse de que quien comprara Have I Been Pwned mantuviera su reputación.

“Imagine una empresa que no respeta los datos personales y que solo abusaría de ellos”, dijo. “¿Qué hace eso por mí?” Algunos compradores potenciales fueron impulsados ​​por las ganancias. Hunt dijo que cualquier ganancia era “auxiliar”. Los compradores solo estaban interesados ​​en un acuerdo que vincularía a Hunt con su marca durante años, comprando la exclusividad para su propio reconocimiento y trabajo futuro; ahí es donde está el valor de Have I Been Pwned.

Hunt buscaba un comprador con el que supiera que Have I Been Pwned estaría a salvo si ya no estuviera involucrado. “Siempre se trató de un plan multianual para tratar de transferir la confianza y la confianza que las personas tienen en mí a otras organizaciones”, dijo.

Hunt testifica ante el Subcomité de Energía de la Cámara en Capitol Hill en Washington, jueves 30 de noviembre de 2017. (Foto AP / Carolyn Kaster)

El proceso de investigación y la diligencia debida fue “una locura”, dijo Hunt. “Las cosas simplemente se retiraron y se retiraron”, dijo. El proceso continuó durante meses. Hunt habló con franqueza sobre el estrés del año. “Me separé de mi esposa a principios del año pasado aproximadamente al mismo tiempo que el [sale process],” él dijo. Luego se divorciaron. “Puedes imaginar pasar por esto al mismo tiempo que la separación”, dijo. “Fue enormemente estresante”.

Luego, casi un año después, Hunt anunció que la venta estaba cancelada. Prohibido hablar de detalles específicos gracias a los acuerdos de confidencialidad, Hunt escribió en una publicación de blog que el comprador, con quien estaba decidido a firmar, hizo un cambio inesperado en su modelo de negocio que “hizo que el acuerdo fuera inviable”.

“Fue una sorpresa para todos cuando no pasó”, me dijo. Era el final del camino.

Mirando hacia atrás, Hunt sostiene que era “lo correcto” alejarse. Pero el proceso lo dejó de nuevo en la casilla sin un comprador y personalmente bajó cientos de miles en honorarios legales.

Después de un año contundente para su futuro y su vida personal, Hunt se tomó un tiempo para recuperarse, luchando por un horario normal después de un año agotador. Entonces el coronavirus golpeó. A Australia le fue ligeramente en la pandemia según los estándares internacionales, levantando su bloqueo después de una breve cuarentena.

Hunt dijo que seguirá corriendo ¿Me han pwned? No era el resultado que quería o esperaba, pero Hunt dijo que no tiene planes inmediatos para otra venta. Por ahora es “lo de siempre”, dijo.

Solo en junio, Hunt cargó más de 102 millones de registros en la base de datos de Have I Been Pwned. Relativamente hablando, fue un mes tranquilo.

“Hemos perdido el control de nuestros datos como individuos”, dijo. Pero ni siquiera Hunt es inmune. Con cerca de 10 mil millones de registros, Hunt ha sido “pwwn” más de 20 veces, dijo.

A principios de este año, Hunt cargó un enorme tesoro de direcciones de correo electrónico de una base de datos de marketing, denominada “Lead Hunter”, unos 68 millones de registros ingresados ​​en Have I Been Pwned. Hunt dijo que alguien había raspado una tonelada de datos de registro de dominio web disponibles públicamente y los había reutilizado como una base de datos masiva de spam. Pero alguien dejó esa base de datos de spam en un servidor público, sin contraseña, para que cualquiera la encontrara. Alguien lo hizo y pasó los datos a Hunt. Como cualquier otra violación, tomó los datos, los cargó en Have I Been Pwned y envió notificaciones por correo electrónico a los millones que se suscribieron.

“Trabajo hecho”, dijo. “Y luego recibí un correo electrónico de Have I Been Pwned diciendo que había sido pwned”.

Él rió. “Todavía me sorprende los lugares en los que aparezco”.

Historias relacionadas:


Source link