Zoekmachine Have I Been Pwned zoekt overnamekandidaat
De zoekmachine Have I Been Pwned, die internetgebruikers laat zoeken of hun gegevens ooit bij een website zijn gestolen, zoekt een overnamekandidaat. Dat heeft beveiligingsonderzoeker Troy Hunt aangekondigd. Hunt startte de zoekmachine in december 2013.
Internetgebruikers kunnen hun e-mailadres op de website invoeren en krijgen vervolgens te zien of die ooit onderdeel van een datalek is geweest. Inmiddels bevat Have I Been Pwned meer dan 7,8 miljard gecompromitteerde accounts, afkomstig van meer dan 360 websites. Hunt beheerde de dienst in zijn eentje, maar dat is volgens de Australiër niet langer houdbaar. Zo zat hij begin dit jaar naar eigen zeggen dicht tegen een burn-out aan. Hij is daarom een zoektocht naar een overnamekandidaat gestart.
Hunt heeft verschillende voorkeurspartijen en werkt samen met KPMG om te kijken welke organisaties in aanmerking komen. De onderzoeker merkt op dat hij wil dat de gratis zoekmogelijkheden voor eindgebruikers gewoon gratis blijven. Daarnaast zal Hunt onderdeel van Have I Been Pwned blijven uitmaken. "Ik sta onder geen enkele druk, en ik heb de tijd om de zoektocht naar een overnamekandidaat op natuurlijke wijze te laten verlopen en zo de best mogelijke match voor het project te vinden", aldus Hunt.
"De onderzoeker merkt op dat hij wil dat de gratis zoekmogelijkheden voor eindgebruikers gewoon gratis blijven."
Aha, bedrijven moeten dus gewoon gaan betalen. Dit is dus altijd al gewoon zijn doelgeweest.
"De onderzoeker merkt op dat hij wil dat de gratis zoekmogelijkheden voor eindgebruikers gewoon gratis blijven."
Aha, bedrijven moeten dus gewoon gaan betalen. Dit is dus altijd al gewoon zijn doelgeweest.
Jij hebt dus geen enkel idee hoe deze service werkt...
Wat is er naïef aan het invullen van een mailadres wat toch al op een spamlijst staat?
Lachen als de crimineeltjes het kopen.
Hoe zit dat eigenlijk met de AVG?Mag hij wel informatie verzamelen en verkopen van Europese burgers?
Aha, bedrijven moeten dus gewoon gaan betalen. Dit is dus altijd al gewoon zijn doelgeweest.
Je hebt zijn blog dus niet gelezen.
Het is duidelijk dat hij nooit het idee heeft gehad zijn idee te commercialiseren. Hij heeft in het verleden zelfs aanbiedingen afgeslagen.
En er staat ook nergens dat er betaald moet gaan worden.
Ik heb me wel eens afgevraagd wat er gebeurt met de security wereld als ik me er uit terugtrek. Dit soort berichten maakt dat ik nachtmerries bij die gedachtes krijg.
Peter
"De onderzoeker merkt op dat hij wil dat de gratis zoekmogelijkheden voor eindgebruikers gewoon gratis blijven."
Aha, bedrijven moeten dus gewoon gaan betalen. Dit is dus altijd al gewoon zijn doelgeweest.
Heb je weleens op Have I Been Pwned gekeken? Er staat letterlijk 7,859,520,210 pwned accounts
Jij hebt dus geen enkel idee hoe deze service werkt...
Ik heb daar een heel goed beeld van, de database van TH is samengesteld met behulp van gestolen en gelekte data. Iedereen die daarna zijn e-mail adres gecontroleerd heeft heeft dat op de site ingevoerd en mogelijk is dat ook opgeslagen door TH waarmee die database in potentie nóg groter geworden is.
Klopt het een beetje wat ik hierboven schrijf? Reactie met argumentatie graag.
Wat is er naïef aan het invullen van een mailadres wat toch al op een spamlijst staat?
Je adres hoeft niet per se voor te komen in die database en zou je een waardevolle aanvulling geven als TH kwaad in de zin heeft. Er is niemand die dat kan ontkrachten.
The world is really pn*wed & holed.
#sockpuppet
En dan krijg je "uh oh it is powned" zelfs als het helemaal geen geldig mail adres is! Met wat flut info eronder.
Zo collecteert meneer Hunt een mega spamlijst en nu gaat ie cashen.
Dit is ook zo VERSCHRIKKELIJK DOM gemaakt allemaal! Als ie het ook maar een greintje goed voorhad met de gebruikers dan zou hij in zijn eigen database hashes van de mailadressen opslaan en op de site met broweser-side javascript dezelfde hash doen en DIE naar de server sturen ter check. Maar nee, hij stuurt gewoon het mail adres wat je invult (wel over https natuurlijk) en dat kan ie dus hoppa in zijn database zetten.
En daar trappen mensen in... en erger nog: daar worden mensen naar toe gestuurd als voorbeeld in campagnes voor veilig internetten, terwijl dit nou juist het soort site is waar je NOOIT je echte gegevens op moet invullen... je weet immers niet wat er mee gedaan wordt, nu en in de toekomst.
Aldus HIBP: "Searching for an email address only ever retrieves the address from storage then returns it in the response, the searched address is never explicitly stored anywhere."
Aldus HIBP: "Searching for an email address only ever retrieves the address from storage then returns it in the response, the searched address is never explicitly stored anywhere."
Voor een heler van gestolen e-mail adressen zeer bemoedigende woorden natuurlijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.