Kapag ninakaw ang mga password, binabalaan ng taong ito ng Australia ang mundo

Ang Troy Hunt's Have I been Pwned ay isang one-stop shop para malaman kung kabilang ka sa milyun-milyong apektado ng mga paglabag sa seguridad. At sinusubukan niyang gawin ito sa responsableng paraan.

Kapag ninakaw ang mga password, binabalaan ng taong ito ng Australia ang mundo

Ang napakalaking mga database ng mga account ng gumagamit ay tila na-hack araw-araw. Ang bilang ng mga nakalantad na account at password — karaniwang naka-encrypt nang mahina — ay bilyon-bilyon. Gayunpaman ang pananagutan at kahihiyan ay iniiwan ng mga kumpanya na kinamumuhian upang mabilis na isiwalat na sila ay na-hack.



Lumilitaw na nagbabago iyon, sa bahagi dahil sa mga bagong batas na may bisa o malapit nang mapunta sa European Union at ilang mga estado ng Estados Unidos, kabilang ang California, na nagpapataw ng mga parusa sa mga pagkaantala sa pag-abiso.

Ngunit dahil din ito sa hindi sinasadyang pagtaas ng isang lalaking taga-Australia sa tuktok ng ecosystem ng hack ng pagsisiwalat ng account. Troy Hunt’s Na-Pwned Na Ba Ako ay may data mula sa higit sa 305 mga paglabag at 77,000 pumipili na pagtatapon (tinatawag na mga pastes) na kabuuang 5.3 bilyong mga tala ng account.

Sa site ni Hunt, maaaring mag-type ang mga bisita sa kanilang email address upang makita kung ang kanilang impormasyon ay bahagi ng anumang paglabag. Ngunit higit sa 2 milyong mga tao ang nag-subscribe sa kanyang libreng serbisyo sa pag-abiso sa email. Nakakuha sila ng mga alerto sa paglabag na madalas na nag-time sa pagsisiwalat ng isang kumpanya na na-hack-o, kapag ang mga kumpanya ay tumangging kilalanin ang mga pagsisikap ni Hunt sa paunang abiso sa etika, bago pa man bumagsak ang mga opisyal na salita ng isang paglabag.



Tuwing nagdaragdag si Hunt ng mga detalye mula sa isa pa sa hindi maiiwasang cavalcade ng mga paglabag mula sa publiko at pribadong mga site, nakakakuha ng email ang mga tagasuskribi. Ang bilang ng mga kasangkot na account ay mula sa sampu-sampung libo hanggang daan-daang milyon. Sa mga huling araw lamang, ang mga tao ay nagpadala sa akin ng dose-dosenang mga paglabag, sabi ni Hunt.

Mayroon din siyang cache ng higit sa kalahating bilyong mga password sa payak na teksto na isiniwalat sa ilang mga punto mula sa mga break-in. Sa pamamagitan ng mga awtomatikong kahilingan, pinapakain niya ang tungkol sa 8 milyong mga tugon araw-araw sa mga serbisyo na suriin kung ang isang ibinigay na password ay lumitaw sa anumang paglabag - at ginagawa niya ito nang matalino, kaya't ang kanyang serbisyo ay hindi kailangang makatanggap ng mga password ng mga tao, kahit na saglit, upang maisagawa ang pagsisiyasat

Nakarating ba ako ng mga riff ng pangalan ni Pwned sa pwned, isang termino mula sa kultura ng kabataan ng 2000 na maluwag na nangangahulugang may isang namuno sa iyo, o nagmamay-ari sa iyo, sa isang videogame-o sa pamamagitan ng pag-hijack ng ilang digital na pag-aari mo. Ginagamit ito ngayon nang regular sa mundo ng mga nagsasamantala sa kahinaan ng system para sa mabuti o sakit bilang isang term ng sining.



Nakabase sa Gold Coast, Queensland, hindi kalayuan sa Brisbane, si Hunt ay nagtatrabaho ng full-time para sa kanyang sarili bilang isang consultant sa seguridad, tagapagsalita, at tagapagsanay. Ang Nakarating ba Ako na Pwned ay tumatagal ng halos 20% ng kanyang oras, sinabi niya, madalas sa anyo ng trabaho sa gabi, katapusan ng linggo, at piyesta opisyal. Ito ay isang solo na pagsisikap, at pinananatili niyang mababa ang gastos sa pamamagitan ng paggamit ng mga serbisyong cloud at sa pamamagitan ng patuloy na pagsisikap na mapabuti ang kahusayan.

Ang site ng Hunt ay nararamdaman tulad ng isang pabalik sa maaga, ideyalistiko na mga araw ng pampublikong internet. Sinabi niya na ang kanyang layunin ay palaging, paano natin magagawa ang mabubuting bagay pagkatapos mangyari ang masamang bagay? Nilikha lamang niya ang isang bagay na kapaki-pakinabang upang punan ang isang walang bisa na hinarap ng sinuman na may mas malalim na bulsa.

Hindi etikal na pag-uugali, etika na tugon

Nag-udyok si Hunt na likhain ang Have I been Pwned noong 2013 bilang kanyang tugon sa lumalaking pag-aalala na lumalabag — tulad ng pagtagas ng taong iyon 150 milyong mga Adobe account - Magreresulta sa isang pantal ng pagsasamantala. Nakikita ko ang isang malaking pagkalat ng mga paglabag sa data sa mga account sa kanila kung saan naisip ko, sa isang banda, marahil ay hindi alam ng mga tao ang tungkol sa [paglabag] na ito at dapat talaga, sabi ni Hunt. Sa kabilang banda, nakakahanap ako ng mabibilang na katibayan ng ilan sa mga bagay na alam natin tungkol sa paraan kung saan pinamamahalaan ng mga tao ang kanilang seguridad sa online.



Maramihang mga paglabag ang nakumpirma na maraming mga tao ang talagang gumagamit ng isang solong password sa maraming mga serbisyo. ( Isang pag-aaral sa 2013 ng U.K. regulator Ofcom ay natagpuan 55% ng mga tao ang gumamit ng parehong password para sa lahat ng kanilang mga account, at isang isang-kapat ang gumamit ng mga kaarawan o pangalan.) Ang muling paggamit ng mga password — kahit na mga mahihirapang hulaan — ay may problema, siyempre, dahil ang isang tao na nakuha ang iyong password para sa isang Maaari nang subukan ng account ang parehong kumbinasyon ng email at password sa anumang iba pang site na pinili nila. Maaari pa silang gumamit ng mga automated na tool upang subukang mag-log in sa libu-libong mga site.

Bumalik noong 2013, noong binabalangkas ni Hunt ang kanyang mga plano, ang paggamit ng two-factor authentication — na idinisenyo upang i-foil ang mga interloper kahit na mayroon sila ng iyong password — ay mas bihira. Ngunit kahit na ang ilang mga site na may two-factor na pagpapatotoo ay hahayaan kang lampasan ito sa pamamagitan ng paghiling ng isang pag-reset ng password sa pamamagitan ng email, posibleng paggamit ng isang email account na may isang password na nalabag mismo.

Ito ay isang bagay na nakakapagod na i-crack ang mga password nang paisa-isa, gamit ang social engineering, mga keystroke logger, at iba pang mga pamamaraan. Isa pa ito upang makakuha ng pag-access sa isang database ng account, lalo na ang isa na nai-publiko sa publiko. Sa pamamaraang karaniwang ginagamit upang mag-encrypt ng mga password ilang taon na ang nakalilipas — at sa kasamaang palad malawak na ginagamit ngayon-ang mga crackers ay maaaring gumamit ng mga precomputing database ng mga naka-encrypt na bersyon ng mga pinaka-karaniwang password at agad na tumutugma sa mga ito. Karaniwan itong nag-a-unlock ng isang malaking porsyento ng mga password ng account, dahil ang mga tao sa pangkalahatan ay gumagamit ng mga simpleng password o mga sumusunod na madaling sundin ang mga pattern.

Bukod dito, kasama ang tipikal na pag-encrypt ng password, kung 100,000 katao sa isang site ang gumagamit ng parehong password, agad na nakakakuha ng 100,000 na mga kombinasyon ng account / password ang isang matapang na magnanakaw ng pagkakakilanlan maaari nilang subukang muli.

Sa loob ng maraming taon, ang mga developer ay may access sa mas malalakas na mga tool na ginagawang natatangi ang naka-encrypt na bersyon ng bawat password, at nangangailangan iyon ng mas maraming pagkalkula upang i-crack ang bawat password. Ang mga pagpipilian na madaling magagamit na ito ay hindi malawak na ipinakalat, gayunpaman, na malinaw sa bawat bagong paglabag.

Maaaring i-minimize ng mga gumagamit ang kanilang pagkakalantad sa pamamagitan ng paglikha ng mga natatanging mga password para sa bawat site gamit ang mga tagapamahala ng password, na ang ilan sa mga ito ay naka-built na sa mga operating system at browser. Ngunit marami ang hindi nagsasamantala sa mga tool na ito. Kahit na ang mga taong nakikinig sa maginoo na karunungan tungkol sa paglikha ng malakas na mga password ay maaaring sumusunod sa payo na ganap na mali at ito ay para sa mga taon. At marami sa atin ang may mga lumang account kung saan hindi namin binago ang mga password sa maraming taon, kahit na mayroon kaming natatanging relihiyon sa password.

gastos ng sobrang mangkok sa komersyo

Inisip ni Hunt na ang isang paraan upang matulungan mapigilan ang lawak ng problemang ito ay upang bumuo ng isang site kung saan maaaring suriin ng mga tao kung ang kanilang email address ay tumutugma sa anumang mga paglabag sa publiko. Ang data mula sa maraming pangunahing paglabag ay magagamit ng publiko — kung minsan dahil sadyang inilalabas ito ng masasamang tao upang magdulot ng kaguluhan. (Sa karamihan ng mga dump na ito, ang mga password ay naka-encrypt, ngunit mahina na hindi ito kumuha ng maraming kadalubhasaan upang matukoy ang mga ito sa pamamagitan ng malupit na puwersa sa pag-crack.) Nagdagdag siya ng isang serbisyo na hinayaan ang mga bisita na mag-sign up upang makatanggap ng isang mensahe kung ang kanilang address lumitaw sa anumang paglabag na kasunod niyang idinagdag.

Habang ang sinuman ay maaaring mag-type sa isang email address at makita kung aling mga paglabag ang isinasama dito, minamarkahan ni Hunt ang ilang mga paglabas ng data bilang sensitibo, tulad ng sa site na nakikipagtulungan kay Ashley Madison. Sa mga kasong ito, upang mapigilan ang sinuman na magamit ang Have I been Pwned upang suriin ang aktibidad ng online ng ibang tao, ang mga tugma ay ipinapadala lamang sa pamamagitan ng email sa mga pinag-uusapang address at hindi lilitaw sa paghahanap ng pampublikong site.

Ang I am Pwned ay hindi rin nagbibigay ng anumang ugnayan sa pagitan ng mga email address at password. Kung may nag-email sa Hunt upang tanungin kung anong password ang naiugnay sa isang account, ang kanyang tugon ay, Ito ang inilagay mo doon.

Ang maingat na pangangasiwa ng Hunt sa data na nakolekta niya ay naiiba sa libre at bayad na mga site na nagbibigay ng pag-access sa buong nakalantad na mga talaan, na nagmamarka ng isang matalim na paglarawan sa pagitan ng impormasyon na higit na kapaki-pakinabang lamang sa partido na naghahanap para sa kanilang address at mga detalye na maaaring payagan ang pagnanakaw ng pagkakakilanlan at pag-hijack ng account . Halimbawa, ang site na LeakedSource.com ay naniningil ng isang bayarin upang makakuha ng access sa buong mga detalye — kasama na ang mga password na na-decrypt nito — lahat nang hindi napatunayan ang pagkakakilanlan. Kinuha ng nagpapatupad ng batas ang mga server nito noong Enero 2017 at Sinisingil ng mga awtoridad ng Canada ang isang lalaki noong Enero 2018 kasama ang trafficking sa impormasyon ng pagkakakilanlan bukod sa iba pang mga hinihinalang krimen. Hindi pinaplano ni Hunt na gumawa ng anumang katulad nito, ngunit ang pananatiling malayo sa ideya hangga't maaari ay napatunayan na masinop.

Paggawa ng tamang bagay

Nakarating na ba ang mataas na profile ni Pwned at ang pamamaraang pamamaraan ni Hunt sa pagsisiwalat na ginagawang lumubog ang kanyang trabaho. Regular na pinapadalhan siya ng mga tao ng impormasyon tungkol sa mga paglabag na kanilang natagpuan, kung minsan ay nagsasangkot ng maliit na bilang ng mga tao sa, sinasabi, isang pribadong kasanayan sa medikal. Sinabi ni Hunt na ang naturang impormasyon ay nagmula sa parehong mga itim na sumbrero na nais ipakita ang kanilang galing sa pag-hack sa kanya at mga puting sumbrero na nais na gawin ang tama. Ang parehong mga grupo ay nag-aalala tungkol sa kung paano hawakan ang mga niceness ng naturang mga pagsisiwalat ng kanilang sarili nang hindi potensyal na landing sa mainit na tubig.

Hindi niya nais na magdagdag ng anumang paglabag sa kanyang site bago niya tinitiyak na alam ng apektadong pangkat ang tungkol dito. Ang ilan ay hindi tumugon, lalo na ang maliliit na samahan. Nagkaroon din siya ng ilang mga tugon sa bellicose, tulad din noong hindi siya nakapagtaas ng alarma sa isang fan-fiction site at inabisuhan ang mga gumagamit nito bago kumilos ang mga tagapangasiwa ng site. Sinabi ni Hunt na ang mga operator ng site ay tumanggi ng isang paglabag, pag-freeze ng mga thread ng talakayan, at paglalagay ng aspersions sa kanyang pagiging lehitimo.

Ang ganitong uri ng pagtugon ay pinapagod siya. Hindi na naman ito, iniisip niya sa sarili. Dumaan ako sa sakit na ito.

[Larawan: sa kabutihang loob ni Troy Hunt]

Gayunpaman, na-buo siya ng isang pagbabagong nangyayari sa mas malalaking mga kumpanya, bahagyang dahil sa kung ano ang inilalarawan niya bilang isang pagbabago sa pag-uugali ng gumagamit. Ang paglilipat na nakita ko sa damdamin ng mga mamimili tungo sa mga paglabag, lalo na sa nakaraang taon, ay lumipat mula sa 'pagsuso ng mga taong ito, dahil mayroon silang isang paglabag sa data' sa 'ah, sumisipsip ang mga paglabag sa data, [ngunit] sinisipsip lamang nila kung hawakan ito nang masama, & apos; sabi niya.

Ayon sa Hunt, ang mga kumpanya ay tila mas handa na ngayong kilalanin ang problema at makipag-ugnay kaagad sa mga nakarehistrong gumagamit. Ang ilang mga firm ay lilitaw na sumusubaybay sa mga email address na inilabas sa iba pang mga paglabag, at binalaan ang mga gumagamit ng kanilang serbisyo tungkol sa potensyal ng isang muling ginamit na password, o pauna-unahang pag-reset ng password ng account ng gumagamit kung sakali.

Ang mga batas sa privacy ng data ay naglagay ng ilang mga ngipin sa ligal na panig, na maaaring maging sanhi ng mga ligal na payo ng mga kumpanya at maging ang mga lupon ng direktor na itulak para sa mas mahusay na seguridad at pagsisiwalat. Tumawag ang Pangkalahatang Data Protection ng Regulasyon ng European Union para sa matitinding parusa para sa pinakapangit na pagkakasala. Ang bagong Batas sa Privacy ng Consumer ng California, na magkakabisa sa Enero 1, 2020, ay mas mahina kaysa sa GDPR, ngunit mayroon pa ring ngipin at maaaring magpataw ng mga makabuluhang multa para sa nakaliligaw o pabaya na pag-uugali. Ang Alabama at North Dakota ay nagpasa ng mga batas sa paglabag sa data sa kalagayan ng paglabag sa Equifax ng 2017 na halos 150 milyong mga tala ng consumer. Ang mga ito at iba pang mga patakaran ay pinapaboran ang mga kumpanya na nagbubunyag kaagad at buong; ang mga pagkaantala at iba pang mga shenanigan ay nagdadala ng mabibigat na multa.

Ang mga tala ni Hunt na may matinding pag-apruba na ang platform ng talakayan na Disqus at host ng imahe na si Imgur ay kapwa gumawa ng buong pagsisiwalat sa loob ng 24 na oras ng pakikipag-ugnay niya sa kanila. Sinabi niya na ang parehong mga kumpanya ay tuwirang ipinaliwanag ang mga paglabag sa kanilang mga gumagamit, detalyado kung ano ang kanilang ginawa bilang tugon, at nag-alok ng mga paumanhin.

Pagbabayad ng mga bayarin

Para sa isang bagay na napaka kapaki-pakinabang sa napakaraming tao, ang Have I been Pwned ay napakahusay na tumakbo. Noong Hunyo 2018, Hunt nag-tweet tungkol sa kanyang mga gastos sa isang paraan na tunog, panandalian, na parang ang site ay tumitimbang sa kanya sa pananalapi. At siya ay gumastos ng isang beses sa mababang daan-daang mga dolyar bawat buwan sa kinakailangang mga serbisyo sa web. Ngunit ang kanyang malaking ibunyag ay noong Hunyo, nakuha niya ang gastos na iyon hanggang sa halos isang bawas sa isang araw. Simula noon, gumawa siya ng mas maraming pag-aayos, at ang kinakailangang mga serbisyo ng ulap ng Microsoft Azure ngayon ay nagkakahalaga sa kanya ng halos 2.6 ¢ sa isang araw.

Ang ilang mga tagasuporta ay tumutulong sa tulong sa subsidyo na Naging Pwned ba ako sa mahinhin na pamamaraan. Binibigyan siya ng Cloudflare ng libreng pag-access sa pamamahagi ng nilalaman at mga serbisyo sa pagpapagaan ng atake, ngunit sinabi ni Hunt na ang kanyang gastos ay halos isang dolyar sa isang araw kung babayaran niya ang mga ito. Nakatanggap din siya ng ilang tulong para sa kanyang papalabas na email, na tumutulong sa ibinigay na ang kanyang site ay nagpapadala ng daan-daang libong mga email sa isang buwan.

Bilang isang isang-tao, part-time na banda, Ang Naging Pwned Ako ay nagsilbi sa Hunt nang higit sa anumang direktang bayad sa pananalapi. Ang natutunan mula sa pagbuo ng isang serbisyo na kailangang sukatin nang direkta ay isinasalin sa kanyang kasanayan sa pagkonsulta at pagsasanay sa paggawa ng pera. Ngunit kumuha din siya ng ilang mga stream ng kita upang mabawi ang kanyang mahirap na gastos at bilang pagbabayad sa daan-daang oras na ibinuhos niya sa serbisyo sa loob ng limang taon.

Kahit sino ay maaaring gumamit ng kanyang operasyon sa pag-check ng password nang libre, at i-download pa rin ang buong bersyon ng database na Have I been Pwned. Gayunpaman, nag-aalok din ang Hunt ng isang serbisyo na nakabatay sa bayad para sa mga kumpanyang nais ang pare-pareho, mataas na dami ng pag-access upang maisagawa ang mga live na query. Kasama sa mga customer ang Eve Online, MyLife, at AgileBits (ang tagagawa ng tagapamahala ng password ng 1Password, na mayroon ding bayad na pakikitungo sa pag-sponsor kasama ang Hunt), pati na rin ang ilang mga hindi pinangalanang security firm. Ang komersyal na pagsisikap na ito ay nagsisilbi ng isang mas malaking layunin sa pamamagitan ng pagtulong sa mga kumpanyang ito na pigilan ang mga gumagamit mula sa paggamit ng mga password na nasa ligaw na.

Isang mas mataas na profile

Noong Nobyembre 2017, si Hunt ay dumating sa Washington, D.C., inanyayahan na magpatotoo sa harap ng U.S. House Energy and Commerce Committee tungkol sa mga paglabag sa data, ang kanilang epekto, at mga potensyal na pagpapagaan. Sinabi niya sa komite na ang pinagsamang epekto ng mga paglabag sa data ay nakakaalis sa kahulugan ng aming personal na mga detalye na sapat na pribado upang gumana upang mapatunayan ang isang pag-login o aming pagkakakilanlan. Ipinahayag din niya ang isang pagnanais para sa pinabuting edukasyon, dahil ang karamihan sa mga paglabag ay lumitaw mula sa maling pagsasaayos. Halimbawa, sa kaso ng Equifax, ang serye ng mga hindi magagandang desisyon tungkol sa seguridad ay inilatag lamang dahil ang isang computer na nakaharap sa publiko ay may isang luma na patch ng software dito.

Ang patotoong ito ay sumasalamin kung hanggang saan ang pagsisikap ni Hunt. Ngunit bilang isang nag-iisang kumpanya, alam niya na siya ay nag-iisang punto ng kabiguan. Habang naisip niya ang tungkol sa pagkuha ng mga tauhan, sinabi niya, hindi ko maibibigay ang aking kredibilidad.

Ang pangunahing pag-aalala ni Hunt ay hindi oras, ngunit pananagutan. Nag-aalala siya na ang pagbabahagi ng maraming impormasyon mula sa mga paglabag sa mga gumagamit ay maaaring magbukas sa kanya upang mapagsapalaran na hindi niya kayanin, ngunit kung saan ay magiging mahusay sa loob ng mga kakayahan ng isang mas malaking kumpanya sa isang kawani ng mga inhinyero, security arkitekto, at mga abogado. Humantong iyon sa kanya upang isaalang-alang ang pagbebenta ng kanyang serbisyo. Ngunit dapat itong maging tamang kumpanya, at, sa ngayon, hindi pa siya nakakahanap ng ganoong matatag at hindi niya ito natagpuan.

Para sa hinaharap na hinaharap, ang solo na operasyon ng Hunt sa ilalim ay magpapatuloy na kailangang-kailangan. Ang milyon-milyong mga tagasuskrito ba ng Pwned Ko ang nagpatotoo sa kahalagahan nito sa leaky internet ngayon. At ang nakalulungkot na bahagi ay magiging mas popular ito sa paglipas ng panahon.