作者:Troy Hunt网络安全博客写作者,HIBP创始人

自 2013 年起,数据泄露事件似乎变得越来越普遍,所带来的影响也越来越大。后来我开始写起博客记录这些我认为在信息安全领域非常吸引人的部分;Gawker 和 Twitter 上使用重复的密码,导致 Gawker 账号被盗向 Twitter 发送巴西莓 (Acai berry) 相关的垃圾邮件。索尼影业的密码,正是我们能够想象人们使用的那种糟糕的密码,但是,亲眼看到它们仍然令人震惊。当我在索尼的时候,他们的用户普遍在他们的 Yahoo! 帐户上使用同样的密码 (59% 的常用电子邮件地址具有完全相同的密码)。

大约在这个时候,发生了 Adobe 数据泄露事件,这让我对行业的这一面非常感兴趣,尤其是因为我身处其中。两次。但最重要的是这次事件涉及到了 1.53 亿人,即使以今天的标准来看,这也是一起大规模的数据泄露事件。所有这些因素加在一起——数据泄露的普遍性、我在做的分析以及 Adobe 数据泄露的规模——不禁让我思考:有多少人知道这些?他们意识到自己的数据已经泄露了吗?他们意识到自己的数据外泄了多少次吗?或许最重要的是,他们是否在已经修改了其使用的其他服务的密码(几乎都是同样的密码)?就这样,博客 Have I Been Pwned 诞生了。

它诞生了!由 @troyhunt 创立的博客 "Have I been pwned?" 已经开始上线运行了。http://haveibeenpwned.com上搜索你的账号是否出现在了数据泄露事件中http://haveibeenpwned.com

——Have I been Pwned (@haveibeenpwned)

2013.12.04

我将保存从当时开始到今天这些年来留下的历史教训,因为目前有 106 篇带有 HIBP 标签的博文,如果你感兴趣的话,可以去看看,让我简单谈谈这项服务目前的情况。它收集了近 80 亿条数据泄露记录,有近 300 万人订阅了通知,我给这些人就一次数据泄露问题发过大约 700 万封电子邮件,有 12 万人监控着他们搜索了 23 万次的域名,我又给他们发过 110 万封电子邮件。在正常情况下,这个网站平均每天有 15 万个独立访问者,在异常情况下这个数字则为 1000 万,另外还有数百万条 API 泄露查询,每天有 1000 万条密码泄露查询。然而这个数字最近也被打破了:

密码泄露查询 @haveibeenpwned 越来越火爆——在过去 24 小时内有 1600 万个请求,缓存命中率为99.4% 。

——Troy Hunt (@troyhuny)

2013.05.24

就像我之前写到过的,商业用户依赖 HIBP 来完成所有工作,包括警告身份盗窃项目的成员,到使信息安全公司向他们的客户提供服务来保护他们的大量网络财产免受撞库攻击的影响,到防止欺诈性金融交易等等。还有世界各地的政府通过这项服务来保护自己的部门,以及执法机构会通过它进行各种调查以及还有各种我从来没有意识到的用途(在我 《从去年开始合法化的HIBP》这篇文章里有一堆其他的例子)。到目前为止,每一行代码,每一项配置和每一条数据泄露记录都是我一个人处理的。没有所谓的 “HIBP团队”,只有一个家伙维持着整个服务的运转。

@haveibeenpwned

该死,我的组织有3505条记录。

我有事情可做了,谢谢你们。

——FlashdriveGordon (@FlashdriveGord1)

2019.04.05

@haveibeenpwned

你们太棒了,非常感谢你们提供的服务!@disqus 2012年没有数据泄露记录,我的旧证书还管用!<刚刚删除的帐号> 如果没有你们的鹰眼,我永远不会知道这些。#非常棒的服务 +10

——ɯɐıllıʍ(@WilliamCaraher)‏

2017.10.11

@haveibeenpwned 你们是传奇。

——CentristAgnostic(@BruvPeace)

2018.07.28

当我需要一张信息图表来解释架构时,我就坐在那里亲自构建架构。我手动收集每一个数据泄露公司的 LOGO,进行裁切,调整它的大小,并优化它们。对于每一次向一个甚至不知道他们的数据在哪里的组织机构进行披露的任务,都落在了我身上(相信我,这非常耗时,而且这已被证明是加载新数据的最大阻碍)。每一次媒体采访,每一次支持请求,坦白来说,你可能想到的每一件事情都是一个人在他业余时间完成的。这不仅是工作量的问题;我愈发的意识到我是那个单一故障点。这需要改变。

是时候成长了

这是一个很长的介绍,但我想在开始写这篇博文之前交代清楚:是时候让 HIBP 长大了。现在是时候从一个人在他的业余时间里做他能做的事情,转变成一个资源更丰富、资金更充足的组织机构来做这些事情了。他们能做的比我一个人能做的多得多。为了更好地理解我为什么要写这篇文章,让我分享一下一张来自谷歌 Analytics 的图片:

这张图显示的是截止到今年 1 月 18 日共 12 个月的时间,峰值对应的是 Collection #1 撞库数据列表的加载量。这也是我前往欧洲参加为期两周 “一如往常” 的会议的日子。在此之前,我和我 9 岁的儿子以及其他好朋友们在挪威雪地的小木屋中住了几天。与此同时,由于 HIBP 在世界范围内的巨大关注,我受到前所未有来自电子邮件,推文,电话和其他所有能想象得到的渠道的轰炸。

我把事情放在一边,坐在雪地里的小壁炉旁,享受美味的饮品并开展着愉快的谈话。那一刻,我意识到我快要精疲力尽了。我很确定我还没有真正的枯竭,但我也意识到,如果我不在生活中做出一些重大的改变,我将在不远的将来看到这件事情发生。(我很想在未来对此进行更多的讨论,因为其中有一些非常重要的经验教训,但现在,我只想交代一下时间背景,然后谈谈接下来的安排。) 所有这一切都发生在我环游世界的同时,我在各种活动上演讲,开展工作坊,做了很多其他的事情让生活运转下去。

坦白来讲,应对所有这一切,这是充满巨大压力的一年。HIBP 在 1 月份开始受到大量关注以来再也没回到过 2018 年的水平,它的关注量在不断增长。为了适应工作量,我做了很多调整,其中大众看到的最明显的变化之一可能是在社交媒体(尤其是推特)上的参与度大幅下降:

在去年 12 月之前(包括12月),我平均每月发推 1141 次(由于某种原因,Twitter 的导出功能不包括 2017 年 5 月和 6 月的数据,而且 7 月也只有一半,所以我把这两个月从图中删除了)。从今年 2 月到 5 月,这一数字已经下降到 315,所以自从 1 月以来我已经减少了 72% 的社交活动。这似乎看起来像是一件无关紧要的事情,但这是一个可量化的数字,表现了对 HIBP 关注度的增加对我生活的影响。同样如果你看到我发博文的频率,你会发现我坚持每周更新视频,但在过去 10 年里,我不得不减少所有其他我非常热衷的技术文章的撰写活动。

那次旅行回来以后,我开始与几个我认为可能有兴趣收购 HIBP 的组织机构进行了一些非正式的交谈。这些谈话的对象都是我认识并尊重的人,所以这是一种低摩擦的 “试探” 性质的交流。这不是我第一次进行这样的讨论,我以前也就组织机构抛出的橄榄枝以及我对收购的兴趣进行过几次交流,但是这是第一次管理服务需要的支出远超出我的能力范围。我对这件事情拥有真正的热情,这很棒,但我很快意识到,当讨论到一些运营本质问题时,我却力不从心。当然,我可以处理数十亿的数据泄露记录,并独自运行一个被数亿人使用的大规模在线数据泄露服务,但这完全是两码事。是时候寻求帮助了。

斯瓦尔巴计划 (Project Svalbard)

回到 4 月,在一次和毕马威 (KPMG) 讨论一些普通金融事务的常规会面上(我会定期会见顾问,因为我自己的财务状况变得越来越复杂),他们建议我和他们的并购部门 (Mergers and Acquisition, M&A) 谈谈为 HIBP 寻找新家的问题。

我很乐意这样做。我们有着长期合作关系,他们不仅了解HIBP,还了解我每天在网络上做的工作。这不是一个艰难的决定——我需要帮助,而他们有相关的经验和专业知识。

在和并购专家的会面中,我很快就明白了我需要多少支持。我意识到很重要的一件事情是,我从来没有真正花时间退后一步,看看 HIBP 实际上做了什么。这听起来可能有些奇怪,但由于多年来它是有机发展的,而且它建立在我认为它应该做的事情和需求所在的基础上,所以我没有从整体上回顾整个事情。我也没有花足够的时间去研究它能做什么;我将在文章的后半部分对此进行更多的讨论,但是它还有很大的潜力可以做更多的事情,我真的需要那些专注于发现企业价值的人的支持来帮助我看到这一点。

第一个任务是为收购项目起一个名字,因为显然这就是你要做的事情。有很多非常俗气的选择,还有很多其他的选择过度使用了信息安全领域的行话。后来我有了一个想法:北极圈那个巨大的种子库是什么?我以前看到过有关它的文章,一个巨大的贮藏库保存着一些对人类有益的东西这种想法开始引起了我的共鸣。原来这个地方叫斯瓦尔巴,它外表看是这样的:

原来这个地方也是挪威的一部分,所有这些因素结合在一起,让它看起来像是一个合适的名字,从储存大量 “单位” 的明显类比开始。几年前有一个很棒的视频谈到该库大约有 10 亿颗种子的容量;虽然没有 HIBP 中的记录那么多,但是相信你已经明白我的想法了。然后是它的名字:对于不熟悉它的人来说,这个名字有点奇怪,很难发音(尽管有这个视频的帮助),有点像 pwned。最后,挪威对我来说有很大意义,因为那里是我大约 5 年前第一次进行国际演讲的地方。我在一个充满了人的屋子里发表了讲话,当观众离开时,他们每个人都往盒子里投了一张绿色评级卡。

@troyhunt’s 演讲后的反馈 #ndcoslo

——Erlend Oftedal(@webtonull)

2014.06.06

那绝对是我职业生涯的转折点。正如你在前面的图表中看到的那样,今年1月我在挪威的时候,人们对 HIBP 关注度疯长。正是在雪中的那个小木屋里,我意识到是时候让 HIBP 长大了。纯粹出于巧合,我今天在挪威发布了这篇文章,而且这是我连续第六年参加 NDC 奥斯陆开发者大会了。所以你可以看到,斯瓦尔巴是一个合适的名字。

我对HIBP未来的承诺

那么如果 HIBP 被另一家公司收购意味着什么呢?坦白来讲,我不知道那将会是什么样的,所以让我就今天的立场坦率地分享一下我的想法,有一些事情我想重点强调一下:

1. 免费搜索服务应该保持免费。这项服务之所以能获得成功,是因为我确保人们在搜索自己的数据时没有障碍,我绝对希望保持现状。这一点排在第一位是有原因的。

2. 我将继续作为 HIBP 的一部分。我完全打算成为这次收购的一部分,这是因为有些公司想让我离开这个项目。HIBP 的品牌本质上和我联系在一起,目前,需要我与它同行。

3. 我想开发更多的功能。我有很多想通过 HIBP 做的事情,但是我一个人是做不到的。这个项目有着超出它当前成就的巨大潜力,我想成为推动它前进的人。

4. 我想触及比现在更多的用户。这一数量现在虽然庞大,然而这些知道自己的数据被泄露的人群只占在线社区的一小部分。

5. 想要改变消费者行为,还有很多事情要做。例如凭证填充现在是一个大问题,它只出现在密码重用的情况中。我希望 HIBP 在改变人们管理在线账户的行为上发挥更大的作用。

6. 组织机构可以从 HIBP 获益更多。接上一条,人们正在使用的服务可以更好地保护他们的客户免受这种形式的攻击,HIBP 的数据可以(一些组织机构已经开始这样做了)在这方面发挥重要的作用。

7. 应该有更多的披露——和更多的数据。我之前提到过,负责任的漏洞披露是多么沉重的负担,而斯瓦尔巴计划给了我一个机会来解决这个问题。有很多组织机构不知道他们的数据已经被泄露了,只是因为我没有足够的带宽来处理这一切。

在考虑哪些组织机构最适合帮助我实现这一目标时,我脑海中有一些值得信赖的选择。还有一群人,我非常尊重他们,但他们没有足够的能力来帮助我实现这个目标。随着这项工作的展开,我将和毕马威 (KPMG) 合作,更清楚地确定哪些组织机构属于第一类。我想你可以想象得到,我们需要进行非常严肃的讨论:HIBP 将如何融入该组织机构,他们将如何帮助我实现上述目标,坦率地说,也就是说它是否适合这样一项有价值的服务。对我来说,还有一些重要的个人因素需要考虑,包括和谁一起工作比较舒服,对旅行和家庭的影响,当然还有经济方面的考虑。说实话,这既令人生畏又激动人心。

上周,在这篇文章中公布这些之前,我开始联系每一位对斯瓦尔巴项目成果感兴趣的利益相关者。我解释了这次决定背后的驱动因素,以及这个项目的目的不仅是为了让 HIBP 更具可持续性,而且是为了让它对数据泄露领域产生更大的影响。这已经促使了我和一些组织机构富有成效的讨论,他们可以帮助 HIBP 对该行业产生更积极的影响。这一过程中有来自多方的热情和支持,这令人放心。

我预计自己会被问到的一个问题是 “为什么我不把 HIBP 变成一个更正式的商业化结构,然后雇佣员工呢?” 我当然有过这样的机会,要么自己投资,要么通过多年来不断抛出橄榄枝的各种风险投资。我决定不走这条路的主要原因是,在我真正需要减轻负担的时候,做这件事情却大大增加了我的责任。直到今天,我不能一个星期都不工作,坦白来讲,即使我一天不工作,我都会担心错过一些重要的事情。随着时间的推移,我自己建立一家公司可能会让我放心这么做,但前提是我投入了大量的时间和金钱,而这不是我现在想做的事情。

总结

我对斯瓦尔巴项目的潜力感到非常兴奋。在与其他组织机构的早期讨论中,我开始看到一种能够更好地管理整个数据泄露生态系统的模式。想象未来,我能够获取和处理更多的数据,主动接触受到影响的组织机构,在他们处理事件的过程中予以指导,确保像你和我这样受到影响的人明白自己的数据已经暴露(以及应该做些什么),最终降低数据泄露对组织机构和消费者的影响。而还远不止于此,因为在被入侵之后还有很多事情可以做,尤其是在应对攻击方面,比如我们最近看到的大量撞库攻击。我对 HIBP 迄今为止所能做的事情感到非常满意,但到目前为止,我只触及到了它潜力的表层。

我做出这个决定的时候,我已经完全控制了整个过程。我没有受到任何压力胁迫(除了高工作量之外),我有时间让收购搜索工作有条理地进行下去,找到项目的最佳匹配对象。正如我一直对 HIBP 所做的那样,我在这里详细介绍了这个过程以保持这个项目完全公开透明。我非常在乎人们对我和我的服务的信任,每一天我都在提醒我自己与之而来的责任。

@troyhunt 我只是想说,我觉得你和 @haveibeenpwned在做上帝的工作。到目前为止,我在每家公司都用过这项服务。

——iloveinfosec (@iloveinfosec)

HIBP 可能只有不到 6 岁,但它是我毕生工作的结果。我还清晰地记得在 90 年代中期,那时我刚开始为网络开发软件,并梦想着创造一些伟大的东西;“我能坐在家里写代码,而它们有朝一日将对世界产生真正的影响,这难道不神奇吗?” 这一路我也有过几次失败的开始,我经历了数据泄露、云计算和独立的职业生涯,才有机会让 HIBP 成为今天的样子,但最终这一切都是我一直希望自己能够做到的。斯瓦尔巴项目让这个梦想成为现实,我对随之而来的机遇感到无比兴奋。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。