Datalekzoekmachine Have I Been Pwned wordt niet verkocht
Beveiligingsonderzoeker Troy Hunt, bedenker van de datalekzoekmachine Have I Been Pwned, zoekt niet langer naar een overnamekandidaat. De zoekmachine zal namelijk niet worden verkocht, zo heeft Hunt vandaag in een blogposting bekendgemaakt.
Internetgebruikers kunnen hun e-mailadres op de website invoeren en krijgen vervolgens te zien of die ooit onderdeel van een datalek is geweest. Inmiddels bevat Have I Been Pwned meer dan 9,5 miljard gecompromitteerde accounts, afkomstig van meer dan 430 websites. Hunt beheert de dienst in zijn eentje, maar dat was volgens de Australiër niet langer houdbaar, zo liet hij vorig jaar juni weten. Zo zat hij begin vorig jaar naar eigen zeggen dicht tegen een burn-out aan. Hij startte daarom een zoektocht naar een overnamekandidaat.
Hunt had verschillende voorkeurspartijen en werkte samen met KPMG om te kijken welke organisaties in aanmerking voor het overnemen van Have I Been Pwned zouden komen. Na een proces van elf maanden, waarbij Hunt maanden met één partij overlegde waarvan hij dacht dat die de datalekzoekmachine zou overnemen, liepen de onderhandelingen op niets uit. "Onverwachte veranderingen aan hun businessmodel maakte de deal onhaalbaar", laat Hunt weten.
De onderzoeker had in totaal gesprekken met 141 bedrijven die in Have I Been Pwned geïnteresseerd waren. Uit deze groep werden 43 partijen gekozen die aan de door Hunt gestelde eisen voldeden. Ook met deze bedrijven voerden Hunt en KPMG gesprekken. Vervolgens konden deze partijen een niet-bindend bod doen. Dit leidde uiteindelijk tot één partij die als bieder exclusiviteit kreeg. Wie deze partij is mag Hunt niet zeggen.
Vanuit het niets veranderde het businessmodel van deze partij, waarop Hunt en het bedrijf besloten om van de overname af te zien. Hunt merkt op dat het een zeer intensief proces was en hij enige tijd nodig zal hebben om te herstellen. Daarnaast merkt hij op dat het gehele proces hem heeft laten zien dat hij meer mankracht nodig heeft. "Ik kan niet de enige zijn die voor alles verantwoordelijk is", aldus de onderzoeker, die binnenkort nieuwe plannen voor Have I Been Pwned bekend zal maken.
KPMG zou haar praktijken beteren.
Ben benieuwd of ze een 100% negatief advies aan mr Hunt hebben opgesteld.
Daarnaast snap ik niet dat die gast niet vervolgd wordt doordat hij illegaal verkregen email adressen in zijn bezit heeft en exploiteerd.
Wat gaat dat Google uiteindelijk opleveren?
Daarnaast snap ik niet dat die gast niet vervolgd wordt doordat hij illegaal verkregen email adressen in zijn bezit heeft en exploiteerd.
Hoezo illegaal? Hij heeft helemaal niets geëxploiteerd, maar alleen de mailadressen bekendgemaakt. Dit valt gewoon onder situational awareness. Sommige databases staan ook plaintext op Pastebin en moet je zelfs gebruikers waarschuwen dat hun mailadressen zijn buitgemaakt in een datalek. Sterker nog. Zelfs de politie en diverse overheidsinstanties maken gebruik van hun diensten om inzicht te krijgen of hun domeinen ooit zijn gelekt, zodat ze hun personeel hierover kunnen waarschuwen.
Wat gaat dat Google uiteindelijk opleveren?
Daarnaast snap ik niet dat die gast niet vervolgd wordt doordat hij illegaal verkregen email adressen in zijn bezit heeft en exploiteerd.
Hoezo illegaal? Hij heeft helemaal niets geëxploiteerd, maar alleen de mailadressen bekendgemaakt. Dit valt gewoon onder situational awareness. Sommige databases staan ook plaintext op Pastebin en moet je zelfs gebruikers waarschuwen dat hun mailadressen zijn buitgemaakt in een datalek. Sterker nog. Zelfs de politie en diverse overheidsinstanties maken gebruik van hun diensten om inzicht te krijgen of hun domeinen ooit zijn gelekt, zodat ze hun personeel hierover kunnen waarschuwen.
De data (email adressen) zijn afkomstig van lekkende of gehackte sites, hij heeft die data van o.a. Pastebin af getrokken en in een database gezet. Daarmee is die data illegaal verkregen en zou in beslag genomen moeten worden.
Dat politie en overheden die data gebruiken maakt het daarmee niet legaal.
De belastingdienst in Nederland heeft eens een CD verkregen waar gestolen data opstond dat was ook al zeer discutabel maar uiteindelijk wel toegestaan, de reden laat zich raden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
