Zoekmachine Have I Been Pwned zoekt overnamekandidaat
De zoekmachine Have I Been Pwned, die internetgebruikers laat zoeken of hun gegevens ooit bij een website zijn gestolen, zoekt een overnamekandidaat. Dat heeft beveiligingsonderzoeker Troy Hunt aangekondigd. Hunt startte de zoekmachine in december 2013.
Internetgebruikers kunnen hun e-mailadres op de website invoeren en krijgen vervolgens te zien of die ooit onderdeel van een datalek is geweest. Inmiddels bevat Have I Been Pwned meer dan 7,8 miljard gecompromitteerde accounts, afkomstig van meer dan 360 websites. Hunt beheerde de dienst in zijn eentje, maar dat is volgens de Australiër niet langer houdbaar. Zo zat hij begin dit jaar naar eigen zeggen dicht tegen een burn-out aan. Hij is daarom een zoektocht naar een overnamekandidaat gestart.
Hunt heeft verschillende voorkeurspartijen en werkt samen met KPMG om te kijken welke organisaties in aanmerking komen. De onderzoeker merkt op dat hij wil dat de gratis zoekmogelijkheden voor eindgebruikers gewoon gratis blijven. Daarnaast zal Hunt onderdeel van Have I Been Pwned blijven uitmaken. "Ik sta onder geen enkele druk, en ik heb de tijd om de zoektocht naar een overnamekandidaat op natuurlijke wijze te laten verlopen en zo de best mogelijke match voor het project te vinden", aldus Hunt.
"De onderzoeker merkt op dat hij wil dat de gratis zoekmogelijkheden voor eindgebruikers gewoon gratis blijven."
Aha, bedrijven moeten dus gewoon gaan betalen. Dit is dus altijd al gewoon zijn doelgeweest.
"De onderzoeker merkt op dat hij wil dat de gratis zoekmogelijkheden voor eindgebruikers gewoon gratis blijven."
Aha, bedrijven moeten dus gewoon gaan betalen. Dit is dus altijd al gewoon zijn doelgeweest.
Jij hebt dus geen enkel idee hoe deze service werkt...
Wat is er naïef aan het invullen van een mailadres wat toch al op een spamlijst staat?
Lachen als de crimineeltjes het kopen.
Hoe zit dat eigenlijk met de AVG?Mag hij wel informatie verzamelen en verkopen van Europese burgers?
Aha, bedrijven moeten dus gewoon gaan betalen. Dit is dus altijd al gewoon zijn doelgeweest.
Je hebt zijn blog dus niet gelezen.
Het is duidelijk dat hij nooit het idee heeft gehad zijn idee te commercialiseren. Hij heeft in het verleden zelfs aanbiedingen afgeslagen.
En er staat ook nergens dat er betaald moet gaan worden.
Ik heb me wel eens afgevraagd wat er gebeurt met de security wereld als ik me er uit terugtrek. Dit soort berichten maakt dat ik nachtmerries bij die gedachtes krijg.
Peter
"De onderzoeker merkt op dat hij wil dat de gratis zoekmogelijkheden voor eindgebruikers gewoon gratis blijven."
Aha, bedrijven moeten dus gewoon gaan betalen. Dit is dus altijd al gewoon zijn doelgeweest.
Heb je weleens op Have I Been Pwned gekeken? Er staat letterlijk 7,859,520,210 pwned accounts
Jij hebt dus geen enkel idee hoe deze service werkt...
Ik heb daar een heel goed beeld van, de database van TH is samengesteld met behulp van gestolen en gelekte data. Iedereen die daarna zijn e-mail adres gecontroleerd heeft heeft dat op de site ingevoerd en mogelijk is dat ook opgeslagen door TH waarmee die database in potentie nóg groter geworden is.
Klopt het een beetje wat ik hierboven schrijf? Reactie met argumentatie graag.
Wat is er naïef aan het invullen van een mailadres wat toch al op een spamlijst staat?
Je adres hoeft niet per se voor te komen in die database en zou je een waardevolle aanvulling geven als TH kwaad in de zin heeft. Er is niemand die dat kan ontkrachten.
The world is really pn*wed & holed.
#sockpuppet
En dan krijg je "uh oh it is powned" zelfs als het helemaal geen geldig mail adres is! Met wat flut info eronder.
Zo collecteert meneer Hunt een mega spamlijst en nu gaat ie cashen.
Dit is ook zo VERSCHRIKKELIJK DOM gemaakt allemaal! Als ie het ook maar een greintje goed voorhad met de gebruikers dan zou hij in zijn eigen database hashes van de mailadressen opslaan en op de site met broweser-side javascript dezelfde hash doen en DIE naar de server sturen ter check. Maar nee, hij stuurt gewoon het mail adres wat je invult (wel over https natuurlijk) en dat kan ie dus hoppa in zijn database zetten.
En daar trappen mensen in... en erger nog: daar worden mensen naar toe gestuurd als voorbeeld in campagnes voor veilig internetten, terwijl dit nou juist het soort site is waar je NOOIT je echte gegevens op moet invullen... je weet immers niet wat er mee gedaan wordt, nu en in de toekomst.
Aldus HIBP: "Searching for an email address only ever retrieves the address from storage then returns it in the response, the searched address is never explicitly stored anywhere."
Aldus HIBP: "Searching for an email address only ever retrieves the address from storage then returns it in the response, the searched address is never explicitly stored anywhere."
Voor een heler van gestolen e-mail adressen zeer bemoedigende woorden natuurlijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
