Datalekzoekmachine Have I Been Pwned blaast verkoop af en blijft zelfstandig

Beveiligingsonderzoeker Troy Hunt verkoopt Have I Been Pwned toch niet. Hij blijft de datalekzoekmachine zelf onderhouden. Vorig jaar ging Hunt op zoek naar een koper omdat het hem veel tijd kostte. Er was bijna een deal, maar die is op het laatste moment afgeblazen.

Vorig jaar in juni kondigde Hunt aan een koper te zoeken voor de dienst. Die zoektocht is nu definitief van de baan. Hunt zegt dat Have I Been Pwned onafhankelijk blijft en dat hij er zelfstandig aan blijft werken. Wel zegt hij daarbij hulp nodig te hebben en werk te gaan delegeren.

In een uitgebreide blog beschrijft Hunt hoe het overnameproces verliep de afgelopen maanden. De beveiligingsonderzoeker nam daarvoor KPMG in de hand. Er waren talloze bedrijven die interesse hadden; na een eerste selectie bleven er 141 over. Dat ging onder andere om grote tech-, antivirus- en hostingbedrijven. Ook was er interesse vanuit financiële instellingen en verzekeringsmaatschappijen.

Het doel van Hunt was om de dienst te verkopen aan een bedrijf waar hij volledig vertrouwen in had en waarvan hij de visie deelde. Er bleven na een nieuwe selectie 43 potentiële kandidaten over. Die partijen ontvingen een uitgebreid Information Memorandum met informatie over de dienst, waarna ze een bod uit konden brengen.

Uiteindelijk bleef er één partij over die exclusiviteit kreeg in het overnameproces. Dat gebeurde vorig jaar in september. Volgens Hunt was de deal vanuit beide partijen zo goed als rond, maar door een plotselinge 'verandering in het bedrijfsmodel' van de geïnteresseerde partij, besloten beide partijen de deal af te blazen. Hunt mag vanwege geheimhoudingsverklaringen niet zeggen om welk bedrijf het gaat en hoe hoog het bod was.

Have I Been Pwned bestaat sinds 2013. Beveiligingsonderzoeker Troy Hunt verzamelt daar de data van grote datalekken, zodat gebruikers kunnen zien of ze getroffen zijn. Gebruikers kunnen zich aanmelden om een notificatie te krijgen zodra hun gegevens voorkomen in een datalek. Miljoenen mensen maken daar gebruik van. 1Password en Mozilla hebben integratie met de dienst in hun software.

Have I Been Pwned - Information Memorandum

Deel van het document dat potentiële kopers kregen

Reacties (53)

Dasprive 3 maart 2020 14:46

Geeft toch de indruk dat die Troy Hunt er echt met zuivere motieven inzit. Want niets zou makkelijker zijn dan HaveIBeenPwned voor een zak met geld te verkopen en er verder niets om te geven wat er mee gebeurt.

Dat is zeldzaam tegenwoordig.

P_Tingen @Dasprive • 3 maart 2020 14:51

Inderdaad, hij stijgt hiermee wel in mijn achting. Op zich lijkt me trouwens de Mozilla Foundation niet eens zo'n gekke eigenaar voor hibp

HollowGamer @P_Tingen • 3 maart 2020 14:57

Zeker omdat ze al een koppeling hebben met deze database.

RoestVrijStaal @HollowGamer • 3 maart 2020 15:30

Hoe neutraal zijn ze dan nog?

Eigenlijk wil je een partij hebben die totaal niets met user accounts, profielen, e.d. in haar verdienmodel doet doet. Anders is het een slager die z'n eigen vlees keurt.

[Reactie gewijzigd door RoestVrijStaal op 23 juli 2024 13:27]

HollowGamer @RoestVrijStaal • 3 maart 2020 15:41

Mozilla staat in het algemeen aangeschreven als iemand die juist kiezen voor meerdere partijen tevreden houden i.p.v. een gesloten - zoals Google/MS/FB die meer houden voor zichzelf of haar 'partners'.

Het liefst zou ik ook willen dat deze persoon hem kan blijven ondersteunen, het spreekt wel vertrouwen uit hoe hij tegenover een verkoop staat. Ik denk dat een anti-virus partij met genoeg cash, echt wel een flink bedrag willen/wilde neerleggen.

killzonex @Dasprive • 3 maart 2020 14:53

of ze betaalde niet genoeg

beetje raar dat bedrijven zn site willen kopen, terwijl alle email adressen enzo allemaal gewoon te vinden zijn op de web.. wat voegt zn zoekmachine voor ze toe?

dez11de @killzonex • 3 maart 2020 15:10

De site zorgt ervoor dat internet een beetje veiliger en betrouwbaarder blijft. Daar heeft bijna iedereen belang bij.

Ayporos @dez11de • 3 maart 2020 18:26

Hmm dat zou ik iets anders verwoorden:

Hij draag niet bij aan extra veiligheid en betrouwbaarheid.. hij draagt meer bij aan de consument die makkelijker (bewust) kan worden van datalekken en gepoked kunnen worden hun wachtwoord(en) te updaten.

Persoonlijk heb ik me dan ook ingeschreven voor het 'notify me' aspect van haveibeenpwned, wat mijns inziens wellicht hét meest waardevolle van die website is. Krijg k gewoon een mailtje wanneer mijn e-mail adres voorkomt in een leak (die bij haveibeenpwned bekend is).

aikebah @Ayporos • 3 maart 2020 19:51

Middels https://haveibeenpwned.com/Passwords draagt hij wel degelijk ook bij aan veiligheid/betrouwbaarheid door een mogelijkheid te bieden op anonieme wijze wachtwoorden te controleren op voorkomen in gelekte gekraakte danwel plaintext wachtwoorden.

Op basis van een zelf te kiezen tresholds van aantal occurrences in de breached data met known password kun je een password policy ontwerpen die bepaalde wachtwoorden per definitie weigert (omdat je de kans op een first-hit bij dictionary-based brute-forcen te groot acht) danwel de end-user te waarschuwen en te adviseren toch een ander wachtwoord te kiezen.

Ayporos @aikebah • 3 maart 2020 20:02

Mja dát is waar ik de grens trek.. ik ga mijn wachtwoord of potentieel wachtwoord dus niet door zo'n site halen want ik heb geen idee wat die site (hoe sterk mijn vertrouwen/respect voor meneer Hunt ook is) ermee doet.

Sowieso zijn de wachtwoorden die ik persoonlijk bedenk altijd dusdanig uniek dat ik de kans érg klein acht dat ze ooit al eens door iemand anders bedacht zullen zijn. Ik probeer altijd ~5 woorden aan elkaar te knopen, bestaande uit namen, plekken en woorden in verschillende talen, fictief en non-fictief, met een of meerdere hoofdletters, een getal ergens ertussen, etc. Minstens 20 karakters lang.
Iets wat voor mij relatief simpel te onthouden is als ik het een paar keer herhaal maar wat wel lang en obscuur genoeg is dat het praktisch niet te brute-forcen is, dictionary noch raw.

Een ander aspect waar ik probeer rekening mee te houden is hoe gemakkelijk iemand die over mijn schouder (stiekem) meekijkt het wachtwoord zou kunnen onthouden. Daarom gebruik ik 'obscure' namen en andere talen. IK kan het erg snel typen maar iemand die meekijkt zal echt niet kunnen zien/onthouden wat ik typ wanneer het woorden/namen zijn waar ze niet bekend mee zijn.

[Reactie gewijzigd door Ayporos op 23 juli 2024 13:27]

raidlabs @Ayporos • 3 maart 2020 23:31

Wachtwoorden worden niet gedeeld. Voor uitleg hoe dit werkt, zie:

https://www.troyhunt.com/...wned-passwords-version-2/ (Onder kopje k-Anonimity)

https://blog.1password.co...passwords-with-1password/ (Onder kopje How it works)

First, 1Password hashes your password using SHA-1. But sending that full SHA-1 hash to the server would provide too much information and could allow someone to reconstruct your original password. Instead, Troy’s new service only requires the first five characters of the 40-character hash.

To complete the process, the server sends back a list of leaked password hashes that start with those same five characters. 1Password then compares this list locally to see if it contains the full hash of your password. If there is a match, then we know this password is known and should be changed.

aikebah @Ayporos • 3 maart 2020 20:42

Even doorlezen hoe het werkt dus... je hoeft het niet in te vullen op de site, je kunt gewoon zelf zijn API aanroepen. Het enige dat je dan stuurt is de eerste 5 characters van de SHA-1 hash van je potentiele wachtwoord. Het resultaat van je request is alle suffixes van hashes met dezelfde prefix en hun occurrences in de leaked passwords.
En als je zelfs die API niet vertrouwt kun je in plaats daarvan de volledige set van hashes downloaden om de check volledig zelf te hosten.

tweaknico @Ayporos • 5 maart 2020 12:02

dan moet je het automatiseren

himlims_ @killzonex • 3 maart 2020 14:57

hoeven ze t niet zelf te ontwikkelen, deze heeft 'de naam' - is altijd handiger om de nummer 1 te kopen dan zelf te bouwen

killzonex @himlims_ • 4 maart 2020 15:18

maar gaat het ze om de zoekmachine of de emailadressen die er te zoeken zijn?

Blokker_1999

Datalek
Networking en security
Security

@killzonex • 3 maart 2020 14:59

Vele dingen. Gewoon al maar de positieve marketing die je eruit kunt halen. Telkens als mensen op zoek gaan op die site zien ze jouw naam staan. Je komt ook positief in beeld omdat je die dienst mogelijk blijft maken. Je kan zelf ook onderzoek doen op de data die je hebt, je kan ook anderen, al dan niet tegen betaling, toegang geven tot (subsets van) de data, al dan niet verder geanonimiseerd.

Bender @killzonex • 3 maart 2020 15:00

Het kan een interessant extra verkoopkanaal zijn en mogelijkheid tot verkopen van aanvullende diensten.

mroz @killzonex • 3 maart 2020 15:00

Heb je zijn blog gelezen?
Daar legt hij prima in uit waarom de verkoop is afgeblazen.

Zebby @killzonex • 3 maart 2020 15:24

Hij had 141 kandidaten na de eerste selectie. Ik geloof niet dat het geld een probleem was...
Er zit een business model achter dit soort diensten, en er valt simpelweg geld te verdienen door in te leveren op de zuiverheid van de website. Alleen al adds toevoegen zal genoeg opleveren, dan hoef je nog geen data te verkopen. Voor de minder zuivere partijen is toch de data veel waard, zeker icm trackers.

AnguishedOne @killzonex • 3 maart 2020 15:02

Een reputatie dingetje lijkt me en ze hoeven dan zelf niet al die info op te zoeken maar het grootste voordeel is waarschijnlijk Security voor het bedrijf zelf.

graverobber2 @killzonex • 3 maart 2020 17:00

of ze betaalde niet genoeg

Ik betwijfel dat dat de rede zal zijn. Als hij er geld voor wou hebben zou het al verkocht zijn aan een al-dan-niet ethisch twijfelachtige partij.

axg @killzonex • 3 maart 2020 17:07

Als ik het artikel goed lees lijkt de kopende partij de deal te hebben afgeblazen. Dit levert natuurlijk een flinke zak geld op voor Hunt

xoniq @Dasprive • 3 maart 2020 14:50

Inderdaad, mede omdat de ‘winnende’ partij achteraf toch minder zuivere doeleinden had met het platform.

Blokker_1999

Datalek
Networking en security
Security

@xoniq • 3 maart 2020 15:01

Dat weet je natuurlijk niet. Het overblijvende bedrijf kan zelf veranderingen hebben doorgevoerd. Bijv doordat ze zelf zijn overgenomen, of door dat er een nieuw bestuur was gekomen dat een andere richting wilde uitgaan. Dat hoeft helemaal geen effect te hebben op wat er met de site zou gebeuren maar was voldoende voor Troy om het vertrouwen in die partij te beschadigen. Veel kan je afvangen door een goede overnameovereenkomst af te sluiten, maar niet alles.

mcDavid @Blokker_1999 • 3 maart 2020 15:19

Ook dat is niet gezegd, voor het zelfde geld heeft dat bedrijf zelf de koop afgeblazen omdat ze er (na of dankzij interne ontwikkelingen) geen brood meer in zagen.

bbob @xoniq • 3 maart 2020 15:04

Dat weten we dus niet of de doeleinden zuiver waren.

olgens Hunt was de deal vanuit beide partijen zo goed als rond, maar door een plotselinge 'verandering in het bedrijfsmodel' van de geïnteresseerde partij, besloten beide partijen de deal af te blazen. Hunt mag vanwege geheimhoudingsverklaringen niet zeggen om welk bedrijf het gaat en hoe hoog het bod was.

Blijft dus gokken.

Mopperman @bbob • 3 maart 2020 15:11

Het is een beslissing van beide partijen, dus zo onzuiver zouden de bedoelingen niet zijn.

Cis @xoniq • 3 maart 2020 17:26

Waar staat dat exact? Je pretendeert nu een quote, terwijl het een eigen invulling is.

Tenzij je natuurlijk een bronvermelding hebt dat de winnende partij minder zuivere doeleinden had. Ik houd me aanbevolen

Bender @Dasprive • 3 maart 2020 14:50

Of het is een tactiek om te kijken dat het zuiver is en de prijs verder op te drijven ;-)

Nu is dat wel wat negatief gesteld (niet mijn ding), maar het kan, het gebeurt.

Ravi0li @Dasprive • 3 maart 2020 14:55

Ik krijg van dit nieuws inderdaad een gevoel van opluchting. Geheid dat er bij verkoop ook een en ander aan de dienst veranderd zou worden, wat in mijn mening totaal overbodig zou zijn. Don't fix that what isn't broken.

dakathefox @Dasprive • 3 maart 2020 16:18

Dat zeg je nou wel he... Maar wie zegt dat zijn motieven wel helemaal zuiver zijn? Het kan ook zomaar zijn dat hij dit roept omdat bijvoorbeeld het bod simpelweg te laag was. Of omdat hij zijn eigen waarde als onderzoeker wil opwaarderen. Het staat natuurlijk wel heel goed op je CV natuurlijk.

Overigens ga ik wel van het beste in de mens uit.

HooksForFeet @dakathefox • 3 maart 2020 17:51

Zijn staat van dienst tot nu toe zegt dat, onder andere.

dakathefox @HooksForFeet • 3 maart 2020 20:46

Ik geloof je hoor en heb hem natuurlijk hoog zitten, maar soms is niets wat het lijkt. De meest vrome dominees hebben er soms ook rare seksuele praktijken op na gehouden.

gorgi_19 @Dasprive • 3 maart 2020 16:39

Dat is niet helemaal waar... Als je zijn blogpost leest, speelt er meer..

Om te beginnen moest hij zichzelf mee verkopen. Hij wordt werknemer en moet dus ook het bedrijf 'uitdragen'. Hij verkoopt dus niet alleen HIBP, maar ook het merk Troy Hunt.

I was really conscious that the companies weren't bidding for HIBP, they were bidding for me running HIBP so a significant part of the purchase price was quite literally a dollar figure on my head.
(...)
I would be an employee. I'd fly the company flag. I'd need to support their vision.

Mensen willen met hem samenwerken om zijn naam, en zo krijgen ze zijn commitment (en hopen ze dat zijn naam positief uitstraalt op het bedrijf. "Wij hebben Troy Hunt als werknemer. Jij vertrouwt hem, dus moet je onze producten ook vertrouwen."

Verder wordt er gesproken over de zak geld.... Die zal aan het begin meevallen. Als alles meezit, en het zich ontwikkeld zoals gepland, dan zal in de toekomst inderdaad de zak geld komen. Kortom, een forse earnout. Wat hij direct op zijn bankrekening kan bijschrijven, zal een stuk lager zijn. Oftewel: blijven, anders gaat je het enorm veel geld kosten.

It wasn't just the headline value either, it was how much of it was comprised of cash versus equity and over what period of time it would be paid, which brings me to a really key factor in all of this: golden handcuffs.

KPMG zal als laatste ook niet goedkoop zijn. Een goed IM opstellen, samen met de gesprekken, zal ook in de vele tienduizenden euro's gaan kosten. Dat los van een eventuele successfee.

[Reactie gewijzigd door gorgi_19 op 23 juli 2024 13:27]

HooksForFeet @Dasprive • 3 maart 2020 17:50

Sorry, maar als na al die jaren nóg niet duidelijk is dat hij dit puur uit zuivere
motieven doet...

Bruin Poeper @Dasprive • 3 maart 2020 21:47

Het kan ook zijn dat hij wilde verkopen maar toch bepaalde zeggenschap wou houden.
Ik heb dat vaker gezien dat mensen hun geesteskinderen moeilijk helemaal kunnen laten gaan.
Kunstenaars bijvoorbeeld verkopen hun werken maar blijven zich er vaak altijd mee bemoeien.
Ik vindt: je verkoopt, of je verkoopt niet. Als je verkoopt heb je er niets meer over te zeggen.
Als ik een beeldhouwwerk koop mag ik het daarna vermalen. Maar menig kunstenaar sleept je dan voor de rechter.

kodak

Networking en security
Datalek

@Dasprive • 3 maart 2020 23:10

Kan je aangeven waarom het hebben van zuivere motieven bij verkoop zeldzaam zou zijn? Je doet immers een bewering dat het uitgangspunt zou zijn geweest dat de motieven niet zuiver zouden zijn en dat nu (toch) een andere indruk geeft. Dat vraagt wel om enige verduidelijking anders is het enkel een suggestieve opmerking die nauwelijks tot niet informatief is. Verkopen wil niet perse zeggen dat je het met winst wenst te doen. Kosten dekkende verkoop komt bijvoorbeeld voor bij non-profit dienstverlening, zoals HIBP.

[Reactie gewijzigd door kodak op 23 juli 2024 13:27]

f3cuk 3 maart 2020 15:11

Mozilla werkt al een tijdje intensief samen met de website. Mogelijk hebben zij ook wat in de melk te brokkelen?

https://monitor.firefox.com/ draait bijvoorbeeld voor een groot deel op de data van Have I Been Powned. Ik kan me voorstellen dat binnen die samenwerking ook afspraken zijn gemaakt, waarbij Troy ook vergoed wordt door Mozilla.

PolarBear @f3cuk • 3 maart 2020 15:25

Tory gebruikt Azure diensten om HIBP in de lucht te houden, Microsoft zou het ook kunnen sponsoren.

Niemand_Anders @PolarBear • 3 maart 2020 15:42

Troy heeft vooral een gebrek aan tijd om de website te onderhouden. Het was niet zozeer een financiele kwestie waarom hij de website wou verkopen.

Het zou mij niets verbazen als Microsoft dit project al diverse jaren ondersteund aangezien Troy al heel erg lang zowel een MVP als een Microsoft Regional Director (soort van MVP Plus titel) is..

CMG @PolarBear • 3 maart 2020 15:38

Nog belangrijker dan Azure is CloudFlare; hij gebruikt een slimme manier om >99% van de requests door de CloudFlare cache te laten serveren. Check maar een paar van zijn oude blogs.

Jeroenneman 3 maart 2020 15:59

Wow, maandenlang met KPMG zitten voor het information memorandum. Dat kan niet goedkoop zijn geweest. Als je ziet wat die voor uurtarief rekenen.

Ik hoop dat de partij die de verkoop afblaast die kosten ook (deels) dekt.

cracking cloud @Jeroenneman • 3 maart 2020 19:09

Klopt.

So we wrapped it up, I got the single largest bill I've ever received in my life and then I sat down and started writing this blog post

https://www.troyhunt.com/...its-ongoing-independence/

debroervanhenk 3 maart 2020 14:59

Volgens Hunt was de deal vanuit beide partijen zo goed als rond, maar door een plotselinge 'verandering in het bedrijfsmodel' van de geïnteresseerde partij, besloten beide partijen de deal af te blazen.

Nu kwam hij erachter voordat de verkoop rond was, maar het probleem met dit soort overnames is altijd dat beloftes van de koper maar een beperkte houdbaarheid hebben. Vroeg of laat maken ze zo’n project (of een bedrijf) bijna altijd op een of andere manier kapot.

crizyz @debroervanhenk • 3 maart 2020 15:44

Verandering in het bedrijfsmodel kan van alles betekent. Misschien besloten ze zich op de elektrische auto markt te storten (is maar een voorbeeld) en hadden ze geen nut voor een site als hibp... Dus waarom zouden beide partijen dan nog doorgaan ermee?

TimMer 3 maart 2020 15:22

Volgens Hunt was de deal vanuit beide partijen zo goed als rond, maar door een plotselinge 'verandering in het bedrijfsmodel' van de geïnteresseerde partij, besloten beide partijen de deal af te blazen.

Er zijn nog mensen met een werkelijke ruggengraat; ik ben hier serieus blij verrast door.

locke960 3 maart 2020 18:02

Het verbaast me dat hij de site in zijn eentje draaiende kan houden, Niet omdat het technisch zo moeilijk is, maar vanwege de juridische risico's. Hij verzameld tenslotte persoonsgegevens en privacygevoelige informatie. Dat is een mijnenveld.

Dan kun je het nog zo goed en consciëntieus doen, er is altijd wel iemand die er anders over denkt, eisen gaat stellen (verwijderverzoeken, vergeet verzoeken, etc), en mogelijk zelfs rechtszaken aanspant. Het feit dat je een email adres in kunt tikken en een lijst met sites te zien krijgt waar deze gebruikt wordt, zal vast wel iemand tegen de borst stuiten. Zelfs als de sex sites er uitgefilterd worden.

Ook moet je aan de privacyregels van heel veel verschillende landen voldoen. En dan zijn er nog landen die het niet toestaan dat gegevens van hun burgers überhaupt buiten hun land worden opgeslagen.

Misschien schat ik de problemen wel te groot in, maar dat is ook deel van mijn punt: je moet het wel allemaal uitzoeken en continu meegaan met veranderingen.

kodak

Networking en security
Datalek

@locke960 • 3 maart 2020 23:51

Waaruit maak je op dat HIBP er echt last van zou hebben dat er risico's kunnen zijn? Of dat HIBP rekening aan het houden is met de wetgeving van diverse landen? Ik heb nog nooit een bericht gezien over juridische stappen van prive personen of bedrijven en ook nog nooit van toezichthouders of law enforcement van welk land dan ook. Terwijl HIBP behoorlijk transparant is over wat ze doen. Dat wil uiteraard niet zeggen dat HIBP alles vermeld, maar er is wel aangegeven dat ze geen leger aan advocaten hebben. Als ze zo lang bestaan dan is dat kennelijk ook niet nodig.

Dat er risico's aan kunnen zitten wil niet automatisch betekenen dat anderen er ook in de praktijk er voldoende mogelijkheden in zien om tijd en geld te investeren in vergaande pogingen om via een rechter mogelijk juridisch gelijk te halen. HIBP zit waarschijnlijk ook niet voor niets in een land waar persoonsgegevens niet heel zware bescherming via wetgeving heeft. HIBP doet waarschijnlijk niet voor niets aan transparantie over wie er achter zit en wat ze met de gegevens doen en wat niet. En wat wel bekend is is dat ze ddos bescherming hebben omdat ze met regelmaat daar mee te maken krijgen.

Ik denk dat dit ook een van de redenen is dat HIBP zich kan verkopen, geen leger aan advocaten nodig hebben.

tweaknico @locke960 • 5 maart 2020 12:09

Hij verzameld gelekte persoonsgegevens.....
dat is toch net weer even anders. Het is data die op allerlei sites wordt aangeboden of vindbaar voor iedereeen die rondkijkt.

Alleen biedt hij de service om te checken of jouw data er tussen staat.
Daarmee laat hij ook zien wie jouw data gelekt heeft. Ik heb dat wat anders ingeregeld. Ik weet het wel een de hand van de mail die ik ontvang... iedereen een uniek adres, da ben ik snel op de hoogte, tevens is er spreiding van credentials die op mail adres gebaseerd zijn.

Q 3 maart 2020 17:23

[Disclaimer] ik ken mensen achter deze partij hieronder, ik ben niet onafhankelijk

Maar een bedrijf zou haveibeenp0wned kunnen gebruiken om een dienst op te zetten als:

https://scatteredsecrets.com

Deze dienst bewaakt bekende domeinen en mail addressen en geeft een alert als je gegevens in een gelekte databreach is gevonden. Deze dienst kraakt ook daadwerkelijk je wachtwoorden met FGPAs.
Dus laat ook precies zien welke wachtwoorden gekraakt zijn.

GEi 3 maart 2020 17:35

Naast de genoemde 1Password en Mozilla kent ook Enpass de functionaliteit om gebruikersnamen en wachtwoorden te checken in deze database.

Op dit item kan niet meer gereageerd worden.

Datalekzoekmachine Have I Been Pwned blaast verkoop af en blijft zelfstandig

Lees meer

Interview: Troy Hunt - Have I Been Pwned

Reacties (53)

Sorteer op:

Weergave: