Datalekzoekmachine Have I Been Pwned blaast verkoop af en blijft zelfstandig

Beveiligingsonderzoeker Troy Hunt verkoopt Have I Been Pwned toch niet. Hij blijft de datalekzoekmachine zelf onderhouden. Vorig jaar ging Hunt op zoek naar een koper omdat het hem veel tijd kostte. Er was bijna een deal, maar die is op het laatste moment afgeblazen.

Vorig jaar in juni kondigde Hunt aan een koper te zoeken voor de dienst. Die zoektocht is nu definitief van de baan. Hunt zegt dat Have I Been Pwned onafhankelijk blijft en dat hij er zelfstandig aan blijft werken. Wel zegt hij daarbij hulp nodig te hebben en werk te gaan delegeren.

In een uitgebreide blog beschrijft Hunt hoe het overnameproces verliep de afgelopen maanden. De beveiligingsonderzoeker nam daarvoor KPMG in de hand. Er waren talloze bedrijven die interesse hadden; na een eerste selectie bleven er 141 over. Dat ging onder andere om grote tech-, antivirus- en hostingbedrijven. Ook was er interesse vanuit financiële instellingen en verzekeringsmaatschappijen.

Het doel van Hunt was om de dienst te verkopen aan een bedrijf waar hij volledig vertrouwen in had en waarvan hij de visie deelde. Er bleven na een nieuwe selectie 43 potentiële kandidaten over. Die partijen ontvingen een uitgebreid Information Memorandum met informatie over de dienst, waarna ze een bod uit konden brengen.

Uiteindelijk bleef er één partij over die exclusiviteit kreeg in het overnameproces. Dat gebeurde vorig jaar in september. Volgens Hunt was de deal vanuit beide partijen zo goed als rond, maar door een plotselinge 'verandering in het bedrijfsmodel' van de geïnteresseerde partij, besloten beide partijen de deal af te blazen. Hunt mag vanwege geheimhoudingsverklaringen niet zeggen om welk bedrijf het gaat en hoe hoog het bod was.

Have I Been Pwned bestaat sinds 2013. Beveiligingsonderzoeker Troy Hunt verzamelt daar de data van grote datalekken, zodat gebruikers kunnen zien of ze getroffen zijn. Gebruikers kunnen zich aanmelden om een notificatie te krijgen zodra hun gegevens voorkomen in een datalek. Miljoenen mensen maken daar gebruik van. 1Password en Mozilla hebben integratie met de dienst in hun software.

Deel van het document dat potentiële kopers kregen

Door Julian Huijbregts

Nieuwsredacteur

03-03-2020 • 14:43

53 Linkedin

Reacties (53)

Wijzig sortering
Geeft toch de indruk dat die Troy Hunt er echt met zuivere motieven inzit. Want niets zou makkelijker zijn dan HaveIBeenPwned voor een zak met geld te verkopen en er verder niets om te geven wat er mee gebeurt.

Dat is zeldzaam tegenwoordig.
Inderdaad, hij stijgt hiermee wel in mijn achting. Op zich lijkt me trouwens de Mozilla Foundation niet eens zo'n gekke eigenaar voor hibp
Zeker omdat ze al een koppeling hebben met deze database. :)
Hoe neutraal zijn ze dan nog?

Eigenlijk wil je een partij hebben die totaal niets met user accounts, profielen, e.d. in haar verdienmodel doet doet. Anders is het een slager die z'n eigen vlees keurt.

[Reactie gewijzigd door RoestVrijStaal op 3 maart 2020 15:31]

Mozilla staat in het algemeen aangeschreven als iemand die juist kiezen voor meerdere partijen tevreden houden i.p.v. een gesloten - zoals Google/MS/FB die meer houden voor zichzelf of haar 'partners'.

Het liefst zou ik ook willen dat deze persoon hem kan blijven ondersteunen, het spreekt wel vertrouwen uit hoe hij tegenover een verkoop staat. Ik denk dat een anti-virus partij met genoeg cash, echt wel een flink bedrag willen/wilde neerleggen.
of ze betaalde niet genoeg

beetje raar dat bedrijven zn site willen kopen, terwijl alle email adressen enzo allemaal gewoon te vinden zijn op de web.. wat voegt zn zoekmachine voor ze toe?
De site zorgt ervoor dat internet een beetje veiliger en betrouwbaarder blijft. Daar heeft bijna iedereen belang bij.
Hmm dat zou ik iets anders verwoorden:

Hij draag niet bij aan extra veiligheid en betrouwbaarheid.. hij draagt meer bij aan de consument die makkelijker (bewust) kan worden van datalekken en gepoked kunnen worden hun wachtwoord(en) te updaten.

Persoonlijk heb ik me dan ook ingeschreven voor het 'notify me' aspect van haveibeenpwned, wat mijns inziens wellicht hét meest waardevolle van die website is. Krijg k gewoon een mailtje wanneer mijn e-mail adres voorkomt in een leak (die bij haveibeenpwned bekend is). :)
Middels https://haveibeenpwned.com/Passwords draagt hij wel degelijk ook bij aan veiligheid/betrouwbaarheid door een mogelijkheid te bieden op anonieme wijze wachtwoorden te controleren op voorkomen in gelekte gekraakte danwel plaintext wachtwoorden.

Op basis van een zelf te kiezen tresholds van aantal occurrences in de breached data met known password kun je een password policy ontwerpen die bepaalde wachtwoorden per definitie weigert (omdat je de kans op een first-hit bij dictionary-based brute-forcen te groot acht) danwel de end-user te waarschuwen en te adviseren toch een ander wachtwoord te kiezen.
Mja dát is waar ik de grens trek.. ik ga mijn wachtwoord of potentieel wachtwoord dus niet door zo'n site halen want ik heb geen idee wat die site (hoe sterk mijn vertrouwen/respect voor meneer Hunt ook is) ermee doet.

Sowieso zijn de wachtwoorden die ik persoonlijk bedenk altijd dusdanig uniek dat ik de kans érg klein acht dat ze ooit al eens door iemand anders bedacht zullen zijn. Ik probeer altijd ~5 woorden aan elkaar te knopen, bestaande uit namen, plekken en woorden in verschillende talen, fictief en non-fictief, met een of meerdere hoofdletters, een getal ergens ertussen, etc. Minstens 20 karakters lang.
Iets wat voor mij relatief simpel te onthouden is als ik het een paar keer herhaal maar wat wel lang en obscuur genoeg is dat het praktisch niet te brute-forcen is, dictionary noch raw.

Een ander aspect waar ik probeer rekening mee te houden is hoe gemakkelijk iemand die over mijn schouder (stiekem) meekijkt het wachtwoord zou kunnen onthouden. Daarom gebruik ik 'obscure' namen en andere talen. IK kan het erg snel typen maar iemand die meekijkt zal echt niet kunnen zien/onthouden wat ik typ wanneer het woorden/namen zijn waar ze niet bekend mee zijn. :9

[Reactie gewijzigd door Ayporos op 3 maart 2020 20:12]

Wachtwoorden worden niet gedeeld. Voor uitleg hoe dit werkt, zie:

https://www.troyhunt.com/...wned-passwords-version-2/ (Onder kopje k-Anonimity)

https://blog.1password.co...passwords-with-1password/ (Onder kopje How it works)

First, 1Password hashes your password using SHA-1. But sending that full SHA-1 hash to the server would provide too much information and could allow someone to reconstruct your original password. Instead, Troy’s new service only requires the first five characters of the 40-character hash.

To complete the process, the server sends back a list of leaked password hashes that start with those same five characters. 1Password then compares this list locally to see if it contains the full hash of your password. If there is a match, then we know this password is known and should be changed.
Even doorlezen hoe het werkt dus... je hoeft het niet in te vullen op de site, je kunt gewoon zelf zijn API aanroepen. Het enige dat je dan stuurt is de eerste 5 characters van de SHA-1 hash van je potentiele wachtwoord. Het resultaat van je request is alle suffixes van hashes met dezelfde prefix en hun occurrences in de leaked passwords.
En als je zelfs die API niet vertrouwt kun je in plaats daarvan de volledige set van hashes downloaden om de check volledig zelf te hosten.
dan moet je het automatiseren :+
hoeven ze t niet zelf te ontwikkelen, deze heeft 'de naam' - is altijd handiger om de nummer 1 te kopen dan zelf te bouwen
maar gaat het ze om de zoekmachine of de emailadressen die er te zoeken zijn?
Vele dingen. Gewoon al maar de positieve marketing die je eruit kunt halen. Telkens als mensen op zoek gaan op die site zien ze jouw naam staan. Je komt ook positief in beeld omdat je die dienst mogelijk blijft maken. Je kan zelf ook onderzoek doen op de data die je hebt, je kan ook anderen, al dan niet tegen betaling, toegang geven tot (subsets van) de data, al dan niet verder geanonimiseerd.
Het kan een interessant extra verkoopkanaal zijn en mogelijkheid tot verkopen van aanvullende diensten.
Heb je zijn blog gelezen?
Daar legt hij prima in uit waarom de verkoop is afgeblazen.
Hij had 141 kandidaten na de eerste selectie. Ik geloof niet dat het geld een probleem was...
Er zit een business model achter dit soort diensten, en er valt simpelweg geld te verdienen door in te leveren op de zuiverheid van de website. Alleen al adds toevoegen zal genoeg opleveren, dan hoef je nog geen data te verkopen. Voor de minder zuivere partijen is toch de data veel waard, zeker icm trackers.
Een reputatie dingetje lijkt me en ze hoeven dan zelf niet al die info op te zoeken maar het grootste voordeel is waarschijnlijk Security voor het bedrijf zelf.
of ze betaalde niet genoeg
Ik betwijfel dat dat de rede zal zijn. Als hij er geld voor wou hebben zou het al verkocht zijn aan een al-dan-niet ethisch twijfelachtige partij.
Als ik het artikel goed lees lijkt de kopende partij de deal te hebben afgeblazen. Dit levert natuurlijk een flinke zak geld op voor Hunt
Inderdaad, mede omdat de ‘winnende’ partij achteraf toch minder zuivere doeleinden had met het platform.
Dat weet je natuurlijk niet. Het overblijvende bedrijf kan zelf veranderingen hebben doorgevoerd. Bijv doordat ze zelf zijn overgenomen, of door dat er een nieuw bestuur was gekomen dat een andere richting wilde uitgaan. Dat hoeft helemaal geen effect te hebben op wat er met de site zou gebeuren maar was voldoende voor Troy om het vertrouwen in die partij te beschadigen. Veel kan je afvangen door een goede overnameovereenkomst af te sluiten, maar niet alles.
Ook dat is niet gezegd, voor het zelfde geld heeft dat bedrijf zelf de koop afgeblazen omdat ze er (na of dankzij interne ontwikkelingen) geen brood meer in zagen.
Dat weten we dus niet of de doeleinden zuiver waren.
olgens Hunt was de deal vanuit beide partijen zo goed als rond, maar door een plotselinge 'verandering in het bedrijfsmodel' van de geïnteresseerde partij, besloten beide partijen de deal af te blazen. Hunt mag vanwege geheimhoudingsverklaringen niet zeggen om welk bedrijf het gaat en hoe hoog het bod was.
Blijft dus gokken.
Het is een beslissing van beide partijen, dus zo onzuiver zouden de bedoelingen niet zijn.
Waar staat dat exact? Je pretendeert nu een quote, terwijl het een eigen invulling is.

Tenzij je natuurlijk een bronvermelding hebt dat de winnende partij minder zuivere doeleinden had. Ik houd me aanbevolen :)
Of het is een tactiek om te kijken dat het zuiver is en de prijs verder op te drijven ;-)

Nu is dat wel wat negatief gesteld (niet mijn ding), maar het kan, het gebeurt.
Ik krijg van dit nieuws inderdaad een gevoel van opluchting. Geheid dat er bij verkoop ook een en ander aan de dienst veranderd zou worden, wat in mijn mening totaal overbodig zou zijn. Don't fix that what isn't broken.
Dat zeg je nou wel he... Maar wie zegt dat zijn motieven wel helemaal zuiver zijn? Het kan ook zomaar zijn dat hij dit roept omdat bijvoorbeeld het bod simpelweg te laag was. Of omdat hij zijn eigen waarde als onderzoeker wil opwaarderen. Het staat natuurlijk wel heel goed op je CV natuurlijk.

Overigens ga ik wel van het beste in de mens uit.
Zijn staat van dienst tot nu toe zegt dat, onder andere.
Ik geloof je hoor en heb hem natuurlijk hoog zitten, maar soms is niets wat het lijkt. De meest vrome dominees hebben er soms ook rare seksuele praktijken op na gehouden.
Dat is niet helemaal waar... Als je zijn blogpost leest, speelt er meer..

Om te beginnen moest hij zichzelf mee verkopen. Hij wordt werknemer en moet dus ook het bedrijf 'uitdragen'. Hij verkoopt dus niet alleen HIBP, maar ook het merk Troy Hunt.
I was really conscious that the companies weren't bidding for HIBP, they were bidding for me running HIBP so a significant part of the purchase price was quite literally a dollar figure on my head.
(...)
I would be an employee. I'd fly the company flag. I'd need to support their vision.
Mensen willen met hem samenwerken om zijn naam, en zo krijgen ze zijn commitment (en hopen ze dat zijn naam positief uitstraalt op het bedrijf. "Wij hebben Troy Hunt als werknemer. Jij vertrouwt hem, dus moet je onze producten ook vertrouwen."

Verder wordt er gesproken over de zak geld.... Die zal aan het begin meevallen. Als alles meezit, en het zich ontwikkeld zoals gepland, dan zal in de toekomst inderdaad de zak geld komen. Kortom, een forse earnout. Wat hij direct op zijn bankrekening kan bijschrijven, zal een stuk lager zijn. Oftewel: blijven, anders gaat je het enorm veel geld kosten.
It wasn't just the headline value either, it was how much of it was comprised of cash versus equity and over what period of time it would be paid, which brings me to a really key factor in all of this: golden handcuffs.
KPMG zal als laatste ook niet goedkoop zijn. Een goed IM opstellen, samen met de gesprekken, zal ook in de vele tienduizenden euro's gaan kosten. Dat los van een eventuele successfee.

[Reactie gewijzigd door gorgi_19 op 3 maart 2020 16:40]

Sorry, maar als na al die jaren nóg niet duidelijk is dat hij dit puur uit zuivere
motieven doet...
Het kan ook zijn dat hij wilde verkopen maar toch bepaalde zeggenschap wou houden.
Ik heb dat vaker gezien dat mensen hun geesteskinderen moeilijk helemaal kunnen laten gaan.
Kunstenaars bijvoorbeeld verkopen hun werken maar blijven zich er vaak altijd mee bemoeien.
Ik vindt: je verkoopt, of je verkoopt niet. Als je verkoopt heb je er niets meer over te zeggen.
Als ik een beeldhouwwerk koop mag ik het daarna vermalen. Maar menig kunstenaar sleept je dan voor de rechter.
Kan je aangeven waarom het hebben van zuivere motieven bij verkoop zeldzaam zou zijn? Je doet immers een bewering dat het uitgangspunt zou zijn geweest dat de motieven niet zuiver zouden zijn en dat nu (toch) een andere indruk geeft. Dat vraagt wel om enige verduidelijking anders is het enkel een suggestieve opmerking die nauwelijks tot niet informatief is. Verkopen wil niet perse zeggen dat je het met winst wenst te doen. Kosten dekkende verkoop komt bijvoorbeeld voor bij non-profit dienstverlening, zoals HIBP.

[Reactie gewijzigd door kodak op 3 maart 2020 23:13]

Mozilla werkt al een tijdje intensief samen met de website. Mogelijk hebben zij ook wat in de melk te brokkelen?

https://monitor.firefox.com/ draait bijvoorbeeld voor een groot deel op de data van Have I Been Powned. Ik kan me voorstellen dat binnen die samenwerking ook afspraken zijn gemaakt, waarbij Troy ook vergoed wordt door Mozilla.
Tory gebruikt Azure diensten om HIBP in de lucht te houden, Microsoft zou het ook kunnen sponsoren.
Troy heeft vooral een gebrek aan tijd om de website te onderhouden. Het was niet zozeer een financiele kwestie waarom hij de website wou verkopen.

Het zou mij niets verbazen als Microsoft dit project al diverse jaren ondersteund aangezien Troy al heel erg lang zowel een MVP als een Microsoft Regional Director (soort van MVP Plus titel) is..
Nog belangrijker dan Azure is CloudFlare; hij gebruikt een slimme manier om >99% van de requests door de CloudFlare cache te laten serveren. Check maar een paar van zijn oude blogs.
Wow, maandenlang met KPMG zitten voor het information memorandum. Dat kan niet goedkoop zijn geweest. Als je ziet wat die voor uurtarief rekenen.

Ik hoop dat de partij die de verkoop afblaast die kosten ook (deels) dekt.
Klopt.
So we wrapped it up, I got the single largest bill I've ever received in my life and then I sat down and started writing this blog post
https://www.troyhunt.com/...its-ongoing-independence/
Volgens Hunt was de deal vanuit beide partijen zo goed als rond, maar door een plotselinge 'verandering in het bedrijfsmodel' van de geïnteresseerde partij, besloten beide partijen de deal af te blazen.
Nu kwam hij erachter voordat de verkoop rond was, maar het probleem met dit soort overnames is altijd dat beloftes van de koper maar een beperkte houdbaarheid hebben. Vroeg of laat maken ze zo’n project (of een bedrijf) bijna altijd op een of andere manier kapot.
Verandering in het bedrijfsmodel kan van alles betekent. Misschien besloten ze zich op de elektrische auto markt te storten (is maar een voorbeeld) en hadden ze geen nut voor een site als hibp... Dus waarom zouden beide partijen dan nog doorgaan ermee?
Volgens Hunt was de deal vanuit beide partijen zo goed als rond, maar door een plotselinge 'verandering in het bedrijfsmodel' van de geïnteresseerde partij, besloten beide partijen de deal af te blazen.
Er zijn nog mensen met een werkelijke ruggengraat; ik ben hier serieus blij verrast door. :)
Het verbaast me dat hij de site in zijn eentje draaiende kan houden, Niet omdat het technisch zo moeilijk is, maar vanwege de juridische risico's. Hij verzameld tenslotte persoonsgegevens en privacygevoelige informatie. Dat is een mijnenveld.

Dan kun je het nog zo goed en consciëntieus doen, er is altijd wel iemand die er anders over denkt, eisen gaat stellen (verwijderverzoeken, vergeet verzoeken, etc), en mogelijk zelfs rechtszaken aanspant. Het feit dat je een email adres in kunt tikken en een lijst met sites te zien krijgt waar deze gebruikt wordt, zal vast wel iemand tegen de borst stuiten. Zelfs als de sex sites er uitgefilterd worden.

Ook moet je aan de privacyregels van heel veel verschillende landen voldoen. En dan zijn er nog landen die het niet toestaan dat gegevens van hun burgers überhaupt buiten hun land worden opgeslagen.

Misschien schat ik de problemen wel te groot in, maar dat is ook deel van mijn punt: je moet het wel allemaal uitzoeken en continu meegaan met veranderingen.
Waaruit maak je op dat HIBP er echt last van zou hebben dat er risico's kunnen zijn? Of dat HIBP rekening aan het houden is met de wetgeving van diverse landen? Ik heb nog nooit een bericht gezien over juridische stappen van prive personen of bedrijven en ook nog nooit van toezichthouders of law enforcement van welk land dan ook. Terwijl HIBP behoorlijk transparant is over wat ze doen. Dat wil uiteraard niet zeggen dat HIBP alles vermeld, maar er is wel aangegeven dat ze geen leger aan advocaten hebben. Als ze zo lang bestaan dan is dat kennelijk ook niet nodig.

Dat er risico's aan kunnen zitten wil niet automatisch betekenen dat anderen er ook in de praktijk er voldoende mogelijkheden in zien om tijd en geld te investeren in vergaande pogingen om via een rechter mogelijk juridisch gelijk te halen. HIBP zit waarschijnlijk ook niet voor niets in een land waar persoonsgegevens niet heel zware bescherming via wetgeving heeft. HIBP doet waarschijnlijk niet voor niets aan transparantie over wie er achter zit en wat ze met de gegevens doen en wat niet. En wat wel bekend is is dat ze ddos bescherming hebben omdat ze met regelmaat daar mee te maken krijgen.

Ik denk dat dit ook een van de redenen is dat HIBP zich kan verkopen, geen leger aan advocaten nodig hebben.
Hij verzameld gelekte persoonsgegevens.....
dat is toch net weer even anders. Het is data die op allerlei sites wordt aangeboden of vindbaar voor iedereeen die rondkijkt.

Alleen biedt hij de service om te checken of jouw data er tussen staat.
Daarmee laat hij ook zien wie jouw data gelekt heeft. Ik heb dat wat anders ingeregeld. Ik weet het wel een de hand van de mail die ik ontvang... iedereen een uniek adres, da ben ik snel op de hoogte, tevens is er spreiding van credentials die op mail adres gebaseerd zijn.
[Disclaimer] ik ken mensen achter deze partij hieronder, ik ben niet onafhankelijk :)

Maar een bedrijf zou haveibeenp0wned kunnen gebruiken om een dienst op te zetten als:

https://scatteredsecrets.com

Deze dienst bewaakt bekende domeinen en mail addressen en geeft een alert als je gegevens in een gelekte databreach is gevonden. Deze dienst kraakt ook daadwerkelijk je wachtwoorden met FGPAs.
Dus laat ook precies zien welke wachtwoorden gekraakt zijn.
Naast de genoemde 1Password en Mozilla kent ook Enpass de functionaliteit om gebruikersnamen en wachtwoorden te checken in deze database.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee