Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Datalekzoekmachine Have I Been Pwned zoekt koper

De zoekmachine voor datalekken Have I Been Pwned staat te koop. De oprichter van de populaire website zegt dat het bijhouden van het project te veel tijd kost, en wil de site aan een bedrijf overgeven.

Dat zegt oprichter Troy Hunt in een blogpost. Hij zegt te veel tijd kwijt te zijn aan het toevoegen van nieuwe datalekken en het bouwen van nieuwe functies, met name omdat hij alles nog steeds in zijn eentje bijhoudt.

Hunt is daarom in gesprek met verschillende potentiële kopers van de website. Hij wil wel zelf betrokken blijven bij de ontwikkeling ervan. "Er zijn nog zo veel dingen die ik voor de site wil maken maar wat ik niet in mijn eentje kan doen", schrijft hij. "Ik wil de persoon zijn die dat doet." Hunt zegt ook dat het een eis is dat Have I Been Pwned altijd gratis toegankelijk moet blijven, in ieder geval voor consumenten.

Have I Been Pwned werd in 2013 opgericht. Op de website wordt de data van grote lekken verzameld en aangeboden. Bekende van zulke lekken zijn die op LinkedIn en Adobe, waarbij miljoenen gegevens vrijkwamen. Via de website kunnen gebruikers kijken of hun e-mailadres of hun wachtwoord in zo'n datalek naar buiten is gekomen. Volgens Hunt staan er inmiddels bijna 8 miljard records op de website, en krijgen drie miljoen gebruikers automatisch een melding als hun gegevens gestolen blijken.

Door Tijs Hofmans

Redacteur privacy & security

11-06-2019 • 14:02

80 Linkedin Google+

Reacties (80)

Wijzig sortering
1Password met Watchtower en Firefox met Monitor werken al met Troy Hunt samen. Dat lijken me twee prima kandidaten.

[Reactie gewijzigd door Jelv op 11 juni 2019 14:16]

Gezien de reacties onder de blogpost van Troy Hunt lijkt het er op dat hij contact heeft met Mozilla (met KPMG die de overname begeleid) maar hij kan er niet meer over zeggen.
Link

edit: link

[Reactie gewijzigd door Sloerie op 11 juni 2019 14:59]

Ik dacht inderdaad ook direct aan Firefox Monitor, deze lijkt mij ook het budget te hebben om dit de boost te geven die het nodig heeft.
Firefox zet zich al ruimte tijd in voor privacy en veiligheid, ik zou Mozilla inderdaad niet eens een gekke partij vinden!
Ik ben het met je eens dat Mozilla de nodige fouten maakt, en had een aantal dingen ook liever niet gezien, maar ik zie in al die links niets dat er op wijst dat ze de privacy van hun gebruikers proberen te schenden om geld te verdienen. Dat is het grote verschil met anderen. Niet de fouten die wel of niet gemaakt worden.
nieuws: Mozilla introduceert in oktober Firefox Premium-dienst met abonnement...
Het is een kwestie van tijd totdat Firefox Accounts e.d. ook naar de Premium dienst verhuisd worden.
Heb ook mijn twijfels, een premium versie is over het algemeen een veeg teken, het begin van het einde van een bruikbaar gratis product. Maar Firefox is open source en kan gemakkelijk geforked worden dus het zal met zo een vaart niet lopen. Die genoemde premium diensten kosten ook echt geld (internetopslag en VPN) dus zo gek is het ook niet dat ze er geld voor vragen.
Dat die add-ons niet meer werken is wat mij betreft een ontwerpfout. De oplossing was een lelijke haast/paniek oplossing. Dat ze alle telemetrie uit die periode deleten is echter een pluspunt(je).
Advertenties zonder tracking, gehost op mozilla servers, en zonder overlast. Zoals het zou moeten zijn eigenlijk. Het echte probleem is dat advertenties een zo slechte naam hebben, waardoor iedereen direct allergisch reageert op dit soort dingen. De fout van Mozilla is dat ze dit hadden moet voorzien en het daarom ander aan hadden moeten pakken. Opt-in bijvoorbeeld, of tijdens de installatie een link naar de uitleg wat het is en hoe je het uit kan zetten.
Verwijdering van een functie wijst niet op het niet te vertrouwen zijn met je gegevens.
Fout gemaakt, die add-on had niet aangeraden moeten worden. Maar duidelijk geen opzet.
Dit is dezelfde functie als in de vierde link.
Gewoon slecht, maar nog steeds niet de intentie om verkeerd met jou gegevens om te gaan.
Die add-on deed helemaal niets als je hem niet activeerde. Het was vooral ongelooflijk lomp om zomaar een add-on te installeren zonder de gebruiker daarin te kennen. Het daarop volgende wantrouwen hadden ze van verre kunnen zien aankomen.
Dat is Opt-in.

Het lijkt er op dat de fouten die ze maken vooral liggen in hoe ze dingen doen, niet in wat ze doen. Dit in tegenstelling tot Google. Geef mij dan maar Firefox.

[Reactie gewijzigd door locke960 op 11 juni 2019 22:25]

Heb je je ook wel eens afgevraagd waarom je dit soort dingen nauwelijks hoort over browsers waar geen non-profit achter zit?
klopt, dit zou goed in hun strategie passen waarbij ze actief bezig zijn met de meest privacy minded maar toch mainstream browser te worden. Dit kan je ook terugzien in hun laatste update die standaard 3rd party trackers tegengaat.
Betaal jij dan voor Firefox aan Mozilla?
Ja, ik doneer zo nu en dan zoals ik wel aan meer open source projecten doe. En jij?
Ja, ik ook! :) Niet Firefox want dat gebruik ik niet, maar wel bijvoorbeeld Eclipse.

Wij zijn dan een deel van de 0,0001% die donaties doet.
Heb je bewijs voor die aantijging?
Dat is niet wat ik zeg..
Maar elk bedrijf zal een leuk marketingpraatje kunnen houden, alleen dat zegt niet per se iets over wat ze in de praktijk doen.

- zie bijvoorbeeld de post van RoestVrijStaal hierboven

[Reactie gewijzigd door Sergelwd op 11 juni 2019 16:46]

Vooral Mozilla als non-profit zou vanuit hun 'privacy by design' mijn voorkeur hebben.
Deze Chrome extension van Google zelf doet ook wonderen.
Mooie voor Tweakers? Genoeg mensen hier :P
Ik neem aan dat vooral softwarebedrijven die gespecialiseerd zijn in anti-malware en security hier de doelgroep zijn.
Tweakers als community zou interessant zijn, maar wie zegt dat wij de kundigheid en tijd hebben om het verder te ontwikkelen? En als bedrijf, zou kunnen, maar gezien het af en toe nu al vechten om ontwikkeltijd lijkt te zijn, lijkt me dat ook niet zo handig.

Maar de gedachte is leuk ;)
Ik gok zomaar dat deze site niet goedkoop van eigenaar wisselt. ;) Er wordt ook specifiek genoemd dat een bedrijf het moet overnemen blijkbaar, ipv bijv. een collectief.
Iets met gedeelde verantwoordelijkheid is geen verantwoordelijkheid misschien.
Facebook is ook een uit de hand gelopen hobby... Hij mag er toch best wat aan overhouden? Het heeft hem ook veel tijd gekost om het te brengen waar het nu staat.
Er kunnen ook nog mensen op aarde rondlopen die een goed hart hebben.
Hij heeft het altijd gratis gehouden en wil dat ook zo houden.

Laat hem dan ook wat geld krijgen uit een overname.
Lijkt me meer dan terecht.
“De community” kan zoiets niet doen. AVG/gdpr verbiedt dat simpelweg.
Echt iets voor een bedrijf die al deze data kan gebruiken voor een eigen spamdienst.
Zit je vakantie er al weer op, en valt de eerste werkdag weer tegen WB?

Ik denk dat Troy wel even nakijkt aan welk bedrijf hij de website (en de bijbehorende gegevens) verkoopt. Het lijkt me sterk dat hij het aan een spammer gaat verkopen.
Tweakers is op zijn beurt eigendom van de Persgroep, die met de overname van Independer al heeft laten blijken dat geld zwaarder telt dan onpartijdig blijven. Die zullen zonder blikken of blozen de data weten te gebruiken voor financiële doeleinden.

Ik vermoed dat daarop werd gedoeld :) Dat Tweakers zelf er geen kwaad mee zou willen geloof ik wel, maar onder de streep neem je zoiets niet over uit de goedheid van je hart, maar om een of andere wijze er geld mee te verdienen. Bij een Mozilla zou dit passen onder marketing voor hun nieuwe privacy gerichte aanpak waarmee ze zich willen differentiëren van Chrome en Edge.
Hopelijk is er een betrouwbare partij die de site wil overnemen. Informatie, zoals op een site als dit, daar moet niet mee gesjoemeld worden.
Tjah, wat is betrouwbaar. Stel dat een Kaspersky het koopt ga je vanuit de VS onmiddellijk kritiek krijgen.
Een labiele gangster? Nee, slecht idee...
Ik adviseer de documentaire op Netflix. Wát een verhaal...
1Password.com lijkt me een goede gegadigde, zij werken ook al geruime tijd intensief samen.
Ik vraag mij af waarom Troy er niet een open-source initiatief van maakt. Maak de broncode openbaar en vraag om donaties/funding (a la wikipedia) voor het hosten van de servers. Op die manier kan iedereen nieuwe features bouwen en loop je niet het risico dat het een commercieel product gaat worden.
Dan zit je nog steeds met verwerken van data, hij normaliseert blijkbaar elke gelekte database, dat wil je natuurlijk no way in open-source variant gaan doen.
Vergeet niet dat het gewoon databases zijn die in het wild te downloaden zijn (al dan niet op het dark web). Maar ik ben het met je eens dat je inderdaad niet een database vol met mailadressen publiekelijk downloadbaar wilt hebben. Echter kan je hier makkelijk omheen werken door ieder mailadres om te zetten in een hash. Op die manier kunnen bezoekers hun eigen mailadressen checken, en als je de database download, heb je enkel een berg nutteloze hashes.
dan moet het wel een proprietary hashing algorithm zijn die de hashes doet, als het een MD5 is kan ik de hash gewoon googlen en het resultaat eruit halen
Dat hoeft toch helemaal niet? In plaats van een database met mailadressen heb je dan een database met (bijv. sha) hashes van mailadressen. Deze hashing gaat maar 1 kant op dus je kan achteraf nooit herleiden wat de oorspronkelijke tekst was. Wanneer iemand dan aan Have I Been Powned vraagt "is mijn email gepowned?" in de vorm van een submit van een formulier, dan hash je de input van dat formulier op dezelfde manier en vergelijk je dat met wat je in de database hebt staan. Het concept blijft precies het zelfde, enkel is de data in een andere vorm.

Het publiekelijk beschikbaar hebben van de database met hashes van mailadressen maakt dan niks uit. Deze is nutteloos en enkel te gebruiken als referentiemateriaal.

[Reactie gewijzigd door Hatsjoe op 11 juni 2019 16:15]

Zelfs een database met hashes is iets wat je absoluut niet publiekelijk wilt hebben. Je kunt prima met allerlei slimme algoritmes een heleboel van die emailadressen achterhalen. voornaam.achternaam enzo bijvoorbeeld.
En wat is daar het probleem van? Dat kan nu ook. Je lost dus niks op met het afschermen van die database. Het gaat er vooral om dat je het spammers e.d. niet te makkelijk wilt maken. Als iemand echt per se die mailadressen lijst wilt hebben, dan download ie wel de complete database dump van tor af. Veel makkelijker dan mailadressen genereren en daarna cross referencen met een grote database.
Dat kan nu niet, want je hebt geen lijst met hashes, en je wilt liever niet honderden emails sturen voordat je er eentje hebt die naar een echt emailadres gaat.

Als je hem echt zo makkelijk van tor zou kunnen downloaden heeft het überhaupt niet zo veel zin om ze te hashen, maar ik geloof absoluut niet dat iedereen zomaar alle emailadressen in die database kan vinden op tor.
maar als je database dan uitlekt kan de gene die de database in handen krijgt de hashes ook gewoon terugzetten naar plain text.

je geeft de hashes inderdaad niet naar buiten toe, dat is waar, maar alleen een hash op sha1 of md5 kan gewoon worden teruggeleid.
Dan mag jij mij vertellen hoe je een sha1 of md5 hash kan "decrypten". En ik bedoel dan niet kraken met een rainbow table.

Mijn hele punt is wanneer je in staat bent de hashes te kraken doordat je een rainbow table hebt, dan heb je die hele hashes niet meer nodig. Je hebt dan namelijk al de lijst met mailadressen.
een hash is geen encryptie. een MD5 hash kan gewoon gegoogled worden.

https://www.networkworld....d5-----with-google--.html
https://www.techzine.nl/n...5-breken-door-google.html
https://it.slashdot.org/s...le-to-crack-md5-passwords

daarom, salted hash met een eigen algoritme, samen met encryptie op de database.
Je denkt te moeilijk en leest ook niet goed. Ik heb nooit gezegd dat hashing encryptie is. Leuk dat je hashes kan googelen maar dat maakt in dit geval helemaal niks uit. Het gaat hier niet om wachtwoorden of geheime data. Het gaat om mailadressen die al op straat liggen en al te downloaden zijn op het dark web.

De reden waarom je dit dan zou willen hashen is om spammers en andere niet zuivere figuren niet een kant en klare mail lijst te geven. Wanneer het in een hash opgeslagen is kan de website nog exact dezelfde functionaliteit vervullen maar is de database nutteloos voor andere zaken.
Is iets voor de ICANN of een dergelijke instantie het beste toch?? Wellicht de VN misschien i.p.v. het commercieel aan te pakken. Aangezien het grensoverschrijdend is.
Zou liever geen instantie met overheidsbanden dit zien overnemen.
Want? Ik vind het namelijk wel bij instanties als die passen. En het argument dat ze dan bij je data kunnen gaat ook op voor alle andere partijen. Het beste lijkt mij dus bij een organisatie welke voor behoud van het open en vrije internet is en welke niet uit is op winst en dat grensoverschrijdend kan opereren.
Omdat die nog wel eens tegenstrijdige belangen hebben.

“Het beste lijkt mij dus bij een organisatie welke voor behoud van het open en vrije internet is en welke niet uit is op winst en dat grensoverschrijdend kan opereren.”

Dan valt de gehele EU en overheden dus al af :+ Verder ben ik het wel met je eens. Dus een organisatie als de EFF lijkt me wel wat, maar zeker geen EU, VS, VN of wat voor overheidsinstantie dan ook. Het liefst een partij die privacy blijft waarborgen en geen banden heeft met inlichtingendiensten. In fact, het liefst ondergebracht in een betrouwbare (sub-)organisatie die zich niet in een x-eyes land bevindt.

[Reactie gewijzigd door WhatsappHack op 11 juni 2019 14:41]

Hij voelt de hete adem van anderen in zijn nek.
Hij mag wel de bekendste zijn, maar heeft echt niet de meeste dan wel grootste database met unieke records.
Vind het een beetje een ego verhaaltje. Kijk mij groots zijn... jammer.
Oh? Er zijn anderen die beter zijn? Noem ze eens.
Sowieso spycloud. Hebben een veelvoud aan unieke records.
Misschien heeft Rickey Gevers interesse, hij draait al https://scatteredsecrets.com/ wat ongeveer hetzelfde doet :)
Haha misschien voelt Troy Hunt de hete adem is z'n nek :+ Scattered Secrets geeftt ook de wachtwoorden dus Have I Been Pwnd 2.0!
En dat zie jij als een goed iets, dat die wachtwoorden toont?
Vraag me af of een bedrijf hier z'n vingers aan wil branden. Mag je namelijk wel dergelijke data opslaan? Ook dit is weer privacy etc.
De link naar de blogpost van Troy Hunt https://www.troyhunt.com/...ure-of-have-i-been-pwned/ werkt niet (ERR_CONNECTION_TIMED_OUT). Of z'n blogje heeft vandaag íets teveel bezoekers gekregen ...

[Reactie gewijzigd door arjan1995 op 11 juni 2019 15:18]

Ik kan wel een aantal bedrijven bedenken, o.a. Microsoft, volgens mij gebruiken ze de website nu al om te waarschuwen als een account gelekt is. Of Google als onderdeel van virustotal.

Beide bedrijven hebben ook baat bij dat de accounts van hun klanten niet worden misbruikt.

[Reactie gewijzigd door IStealYourGun op 11 juni 2019 15:54]


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True