Loopbaan

Security
wachtwoorden

Have I Been Pwned staat te koop

Beroemde database met uitgelekte wachtwoorden biedt zichzelf aan voor overname.

© CC0,  geralt
11 juni 2019

Beroemde database met uitgelekte wachtwoorden biedt zichzelf aan voor overname.

Troy Hunt, de man achter de bekende site Have I Been Pwned (HIBP), biedt die securityservice nu te koop aan. Hij kan het enorm toegenomen werk niet meer in zijn eentje aan én wil veel meer mogelijk maken met de controle- en waarschuwingsdienst voor datalekken. Eerste, informele contacten met geschikt bevonden partijen zijn al gelegd, waarbij de M&A-afdeling van KPMG helpt voor de formele voortzetting.

"HIBP is misschien nog geen 6 jaar oud, maar het is het hoogtepunt van een levenswerk", sluit Hunt zijn lijvige blogpost af over het door hem genomen verkoopbesluit. De éénmansoperatie heeft wereldwijd veel nut en heeft ook onverwachte gebruiksmogelijkheden ontsloten. Zo zijn er betalende gebruikers van HIBP die de controle op uitgelekte wachtwoorden gebruiken om eigen werknemers te beschermen, maar ook securityleveranciers die hiermee hún klanten weer weten te waarschuwen. Daarnaast zijn er overheden die het gebruiken en wetshandhavers die HIBP-data inzetten voor hun onderzoeken.

Single point of failure

Hierbij is de hoeveelheid werk aan en voor HIBP enorm toegenomen, legt oprichten en uitvoerder Hunt uit. "Dit was niet slechts een kwestie van werkbelasting", geeft hij aan met de waarneming dat een burnout niet ver weg lijkt te zijn. "Ik werd me in toenemende mate bewust van het feit dat ik het single point of failure was. En dat moet veranderen." Als Hunt ziek zou zijn, of echt met vakantie zou gaan, dan zou de waardevolle dienst van HIBP risico lopen.

Het is dus tijd voor deze securitydienst om op te groeien, stelt Hunt. De tijd is gekomen voor overgang van wat één persoon kan doen in zijn vrije tijd, naar een structuur met meer middelen en betere financiering. Daarmee kan HIBP dan ook weer méér doen dan wat Hunt op eigen houtje voor elkaar kan krijgen. In theorie kan opschalen door mensen in dienst te nemen, en zo een eigen grotere organisatie opzetten, maar dat zou juist eerst nog meer werk betekenen voor Hunt zelf. En dus is dat niet het juiste antwoord nu, aldus de security-expert.

6 voorwaarden

Overname door een geschikte partij is wel het antwoord, heeft Hunt besloten na wikken en wegen. Hij heeft hierbij een zestal cruciale punten, die in wezen voorwaarden zijn voor geïnteresseerde partijen. Ten eerste moeten vrij beschikbare zoekopdrachten door consumenten, voor hun eigen accounts, beschikbaar blijven. "De service is succesvol geworden omdat ik er voor heb gezorgd dat er geen hindernissen waren voor mensen om hun data te zoeken en ik wil dat dat absoluut de status quo blijft. Dat is nummer op de lijst voor een [goede - red.] reden", legt Hunt uit.

Ten tweede is er het punt dat de oprichter van Have I Been Pwned betrokken blijft bij zijn creatie, ook na een overname door een bedrijf. Ten derde wil Hunt flink meer mogelijkheden uitbouwen. "Er is een hele berg aan dingen die ik met HIBP wil doen die ik simpelweg niet op eigen houtje kan doen." Ten vierde is de security-onderzoeker er op uit om een veel groter publiek te bereiken, en te helpen om veiliger te worden. "De aantallen zijn nu al massaal, maar het is nog altijd slechts een klein fragment van de online-gemeenschap die ontdekt dat ze blootgesteld zijn door datalekken. Er is nog veel meer wat gedaan kan worden om consumentengedrag te veranderen." Hergebruik van hetzelfde wachtwoord voor verschillende diensten is een concreet voorbeeld van onveilig consumentengedrag.

Ambities, voor betere bescherming

Ten vijfde staat er op Hunts puntenlijst voor de voorgenomen HIBP-verkoop dat organisaties veel meer nut kunnen halen uit die securitydienst. Voortkomend uit punt vier kunnen digitale diensten (en de aanbieders daarvan) volgens de security-expert veel meer doen om hun gebruikers beter te beschermen. Het gevaar van credential stuffing (het geautomatiseerde uitproberen van uitgelekte inlogcredentials) is een concreet voorbeeld waartegen organisaties zich - en hun gebruikers - beter tegen kunnen bewapenen. Data van HIBP speelt hierin al een belangrijke rol, maar dat kan beter.

En ten zesde is er Hunts ambitie om veel meer onthullingen over datalekken te doen, en die uitgelekte inloggegevens dan ook op te nemen in de HIBP-database. In zijn lange blogpost schetst de beveiligingsonderzoeker hoeveel tijd er wel niet gemoeid is met het verantwoord melden van security-incidenten bij de organisaties die data blijken te lekken. Hunt graast zelf ondergrondse fora en pate-sites af, waar hij geregeld grote gegevensverzamelingen ontdekt. Vervolgens wil hij dat melden zodat getroffen organisaties en gebruikers beschermende maatregelen kunnen treffen. Dit kost veel tijd, moeite en bijvoorbeeld ook ICT-resources voor de HIBP-site. "Er zijn heel veel organisaties die niet weten dat ze geschonden zijn [qua datalekkage - red.] simpelweg omdat ik niet de bandbreedte had om er mee om te gaan."

Lees meer over Loopbaan OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.