我是怎么成为互联网上最大的数据泄露事件的守护者的?

2020-07-03 22:04:06

七年后,数据泄露通知服务每天处理数以千计的来自用户的请求,这些用户检查他们的数据是否被其数据库中的数百起数据泄露(包括一些历史上最大的泄露)泄露了-或者被硬‘p’篡改。随着它的发展,现在坐在略低于100亿的破纪录大关,亨特最初的问题的答案变得更加明确。

亨特在澳大利亚黄金海岸的家中告诉我:“从经验上讲,这是非常有可能的。”“对于我们这些上网一段时间的人来说,这几乎是板上钉钉的事。”

作为Hunt钟爱的学习微软云基础知识的项目,Have I Wwned很快就大受欢迎,部分原因是它的使用简单,但很大程度上是因为个人的好奇心。

随着服务的发展,Have I Be Pwned承担了更积极的安全角色,允许浏览器和密码管理器在Backchannel中烘焙,以警告我不要在其数据库中使用之前被攻破的密码。这一举措也是降低网站运营成本的关键收入来源。

但Have I be Pwned的成功应该几乎完全归功于Hunt,既是它的创始人,也是它唯一的员工,一个人的乐队经营着一家非传统的初创公司,尽管它的规模和资源有限,但它还是实现了盈利。

亨特说,由于需要支持的工作量已经膨胀,亨特说,在没有外部帮助的情况下运营这项服务的压力开始产生影响。有一个逃生计划:亨特将该网站挂牌出售。但是,在经历了动荡的一年后,他又回到了起点。

在其下一个重大的100亿里程碑大关到来之前,“我被击败了吗”并没有显示出放缓的迹象。

到2011年,他已经建立了收集和剖析小规模数据泄露事件并将自己的发现发布在博客上的声誉。他详细而有条不紊的分析一次又一次地表明,互联网用户在从一个网站到另一个网站使用相同的密码。因此,当一个网站被攻破时,黑客已经拥有与用户其他在线账户相同的密码。

然后是Adobe入侵事件,亨特当时形容这是“所有入侵事件之母”:超过1.5亿个用户账户被盗,并在网络上流传。

亨特获得了这些数据的副本,并与他已经收集的其他几个漏洞一起,将它们加载到一个数据库中,可以通过一个人的电子邮件地址进行搜索,亨特认为这是所有被入侵数据集中最常见的分母。

没过多久,它的数据库就膨胀了。索尼(Sony)、Snapchat和雅虎(Yahoo)的泄露数据很快也紧随其后,在其数据库中又积累了数百万条记录。我是不是很快就会成为检查你是否被入侵的首选网站。早间新闻节目会炸出它的网址,导致用户激增-有时足以让网站短暂下线。自那以后,Hunt添加了互联网历史上一些最大的漏洞:MySpace,Zynga,Adult Friend Finder,以及几个巨大的垃圾邮件列表。

随着我被Pwned的规模和知名度的增长,Hunt仍然是它的独资所有者,负责从组织数据和将数据加载到数据库到决定网站应该如何运营,包括其道德规范的一切。

亨特采取了一种“我认为什么有意义”的方法来处理其他人被泄露的个人数据。由于我没有什么可比较的,亨特不得不为他如何处理和处理如此多的泄密数据制定规则,其中大部分是高度敏感的。他并不声称拥有所有的答案,而是依靠透明度来解释他的理由,并在冗长的博客帖子中详细说明他的决定。

他决定只允许用户搜索他们的电子邮件地址,这是合乎逻辑的,因为当时该网站唯一的使命是告诉用户他们是否被入侵了。但这也是一个以用户隐私为中心的决定,有助于该服务在未来免受他将收到的一些最敏感和最具破坏性的数据的影响。

2015年,亨特获得了阿什利·麦迪逊(Ashley Madison)泄密案。数以百万计的人在该网站上有账户,这鼓励了用户发生婚外情。这起泄密事件登上了头条,先是因为泄密事件,后来又有几名用户在事件发生后自杀身亡。

亨特与他通常的做法有所不同,他敏锐地意识到了它的敏感性。不可否认,这次入侵是不同的。他讲述了一个故事,一个人告诉他,他们当地的教堂是如何张贴了一份镇上所有参与数据泄露的人的名单。

“这显然是一种道德判断,”他说,他指的是这次泄密事件。“我不想让别人强迫我这么做。”

与早先不太敏感的入侵不同,亨特决定不允许任何人搜索这些数据。取而代之的是,他特意设计了一项新功能,允许已经验证了电子邮件地址的用户查看他们是否受到了更敏感的入侵。

亨特说:“人们陷入数据泄露的目的比任何人想象的都要微妙得多。”一位用户告诉他,在痛苦的分手后,他在那里,后来再婚,但后来被贴上了通奸的标签。另一人说,她创建了一个账户来捕捉她涉嫌作弊的丈夫的行为。

他解释说:“在某一时刻,公开搜索会给人们带来不合理的风险,我对此做出判断。”

阿什利·麦迪逊(Ashely Madison)泄密事件强化了他关于尽可能少保存数据的观点。亨特经常回复数据泄露受害者的电子邮件,要求提供他们的数据,但他每次都拒绝。

亨特说:“如果我被攻击了,让人们查询他们的电话号码、性特征或在各种数据泄露中暴露的任何东西,那么加载所有的个人数据真的不会达到我的目的。”

他说:“如果我被敲诈了,那只是电子邮件地址而已。”“我不希望发生这种情况,但如果有密码,情况就完全不同了。”

但剩下的密码并没有浪费。Hunt还允许用户搜索超过5亿个独立密码,允许用户搜索是否有他们的密码也登录到了Have I Wwned中。

他说,任何人-甚至是科技公司-都可以访问这个Pwned密码宝库。浏览器制造商和密码管理公司,如Mozilla和1Password,已经预装了访问Pwned密码的权限,以帮助防止用户使用之前被攻破和易受攻击的密码。包括英国和澳大利亚在内的西方政府也依赖Have Pwned来监控是否违反了亨特·阿洛斯(Hunt Alos)免费提供的政府凭证。

“这极大地证实了这一点,”他说。他说:“在很大程度上,政府试图做一些事情来确保国家和个人的安全-在极端的胁迫下工作,但他们拿不到多少报酬。”

亨特认识到,尽管公开和透明是其运营的核心,但他生活在一个在线炼狱里,在任何其他情况下-特别是在商业企业-他都会淹没在监管障碍和繁文缛节中。虽然Hunt将数据加载到他的数据库中的公司可能会倾向于其他方式,但亨特告诉我,他从未收到过运营这项服务的法律威胁。

他说:“我愿意认为,我被判死刑是完全合法的。”

其他试图复制“我是不是被打爆了”的成功的人就没有那么幸运了。

亨特说:“类似的服务已经如雨后春笋般涌现出来。”“他们一直是以营利为目的的--他们已经被起诉了,”他说。

LeakedSource一度是网络漏洞数据的最大卖家之一。我知道,因为我的报道打破了他们的一些最大收获:音乐流媒体服务Last.fm,成人约会网站AdultFriendFinder,以及俄罗斯互联网巨头Rambler.ru等等。但引起联邦当局注意的是,LeakedSource的运营商后来承认了与贩卖身份窃取信息有关的指控,该公司不分青红皂白地出售对其他任何人的信息泄露数据的访问权。

“有一个非常合理的理由,那就是提供一项服务,让人们以一定的价格访问他们的数据。”

亨特说,他会“睡得很好”,向用户收取访问数据的费用。“如果出了问题,我只是不想对此负责,”他说。

他告诉我:“我可以看到,如果我不改变一些东西,我将会是什么样子。”“为了项目的可持续性,我真的觉得必须做出一些改变。”

他说,他在这个项目上花费的时间从一小部分增加到了一半以上。除了处理日常事务-收集、组织、重复数据删除和上传大量被破坏的数据外,亨特还负责网站整个后台维护-账单和税收-除此之外,他还负责自己的工作。

亨特在2019年6月宣布出售计划时写道,出售我被Pwned的计划代号为Svalbard项目,以亨特将我比作挪威种子库命名,这是一个巨大的库存,其中储存了一些对改善人类有价值的东西。这不是一件容易的事。

亨特表示,出售是为了确保这项服务的未来。这也是一个必须确保他自己的决定。亨特说:“他们不是在买我,他们是在买我。”“没有我,就没有交易。”在他的博客文章中,亨特谈到了他希望扩大这项服务并接触到更多的受众。但是,他告诉我,这不是钱的问题。

作为它的唯一托管人,Hunt表示,只要有人继续支付账单,我就会活下去。“但它没有生存模式,”他承认。“我只是一个人在做这件事。”

他开玩笑说,通过出售Have I Are Pwned,目标是提供一种更可持续的模式,减轻他的压力,而且,如果他被鲨鱼吃掉,网站也不会倒闭,这对生活在澳大利亚的人来说是一种职业危险。

亨特会见了数十名潜在买家,其中许多人在硅谷。他知道买家会是什么样子,但他还没有名字。亨特想要确保无论是谁买下了我,都维护了它的声誉。

“想象一下,一家公司不尊重个人数据,只会滥用其中的垃圾,”他说。“这对我有什么好处?”一些潜在买家是受利润驱动。亨特说,任何利润都是“附带的”。买家只对一笔交易感兴趣,这笔交易将亨特与他们的品牌联系在一起多年,购买他自己的认可和未来工作的排他性-这就是Have I be Pwned的价值所在。

亨特正在寻找一位买家,他知道如果他不再与我打交道,他会很安全。他说:“这一直是一个多年计划,试图将人们对我的信心和信任转移到其他一些组织。”

亨特说,审查过程和尽职调查是“疯狂的”。“事情就这样拖了又拖,”他说。这个过程持续了几个月。亨特坦率地谈到了这一年的压力。他说:“去年早些时候,我和妻子分居了,大约是在(出售过程)的同一时间。”他们后来离婚了。“你可以想象在分手的同时经历这一切,”他说。“压力很大。”

然后,将近一年后,亨特宣布交易取消。由于保密协议,亨特被禁止讨论细节,他在一篇博客文章中写道,他执意要与之签约的买家对他们的商业模式做出了意想不到的改变,“使交易变得不可行”。

“当它没有通过时,每个人都感到惊讶,”他告诉我。这是路的尽头。

回首往事,亨特坚持认为,离开是“正确的事情”。但这一过程让他回到了原地,没有买家,个人减少了数十万美元的律师费。

在经历了未来和个人生活的一年伤痕累累之后,亨特花了一些时间恢复过来,在精疲力竭的一年之后努力寻找正常的日程安排。然后冠状病毒袭来。按照国际标准,澳大利亚在大流行中表现平平,在短暂隔离后解除了封锁。

亨特说如果我被抓了他会继续跑。这不是他想要或预期的结果,但亨特说,他没有立即出售的计划。他说,目前“一切照旧”。

仅在6月份,Hunt就将超过1.02亿条记录加载到了Have I be Pwning的数据库中。相对而言,这是一个平静的月份。

“我们已经失去了对个人数据的控制,”他说。但即使是亨特也不能幸免。他说,在近100亿条记录中,Hunt已经被‘pwt’了20多次。

今年早些时候,Hunt从一个名为“Lead Hunter”的营销数据库中加载了大量的电子邮件地址,大约6800万条记录被输入到了Have I Wwned中。亨特说,有人窃取了大量公开可用的网络域名记录数据,并将其重新用于大规模的垃圾数据库。但有人在公共服务器上留下了垃圾邮件数据库,没有密码,任何人都可以找到。有人这么做了,并把数据传给亨特。就像任何其他泄密事件一样,他提取数据,将其加载到我已经被支付了吗,并向数百万订阅的人发送电子邮件通知。

“任务完成了,”他说。“然后我收到了一封电子邮件,说我被打了。”