image

Datalekzoekmachine Have I Been Pwned wordt niet verkocht

dinsdag 3 maart 2020, 14:08 door Redactie, 5 reacties

Beveiligingsonderzoeker Troy Hunt, bedenker van de datalekzoekmachine Have I Been Pwned, zoekt niet langer naar een overnamekandidaat. De zoekmachine zal namelijk niet worden verkocht, zo heeft Hunt vandaag in een blogposting bekendgemaakt.

Internetgebruikers kunnen hun e-mailadres op de website invoeren en krijgen vervolgens te zien of die ooit onderdeel van een datalek is geweest. Inmiddels bevat Have I Been Pwned meer dan 9,5 miljard gecompromitteerde accounts, afkomstig van meer dan 430 websites. Hunt beheert de dienst in zijn eentje, maar dat was volgens de Australiër niet langer houdbaar, zo liet hij vorig jaar juni weten. Zo zat hij begin vorig jaar naar eigen zeggen dicht tegen een burn-out aan. Hij startte daarom een zoektocht naar een overnamekandidaat.

Hunt had verschillende voorkeurspartijen en werkte samen met KPMG om te kijken welke organisaties in aanmerking voor het overnemen van Have I Been Pwned zouden komen. Na een proces van elf maanden, waarbij Hunt maanden met één partij overlegde waarvan hij dacht dat die de datalekzoekmachine zou overnemen, liepen de onderhandelingen op niets uit. "Onverwachte veranderingen aan hun businessmodel maakte de deal onhaalbaar", laat Hunt weten.

De onderzoeker had in totaal gesprekken met 141 bedrijven die in Have I Been Pwned geïnteresseerd waren. Uit deze groep werden 43 partijen gekozen die aan de door Hunt gestelde eisen voldeden. Ook met deze bedrijven voerden Hunt en KPMG gesprekken. Vervolgens konden deze partijen een niet-bindend bod doen. Dit leidde uiteindelijk tot één partij die als bieder exclusiviteit kreeg. Wie deze partij is mag Hunt niet zeggen.

Vanuit het niets veranderde het businessmodel van deze partij, waarop Hunt en het bedrijf besloten om van de overname af te zien. Hunt merkt op dat het een zeer intensief proces was en hij enige tijd nodig zal hebben om te herstellen. Daarnaast merkt hij op dat het gehele proces hem heeft laten zien dat hij meer mankracht nodig heeft. "Ik kan niet de enige zijn die voor alles verantwoordelijk is", aldus de onderzoeker, die binnenkort nieuwe plannen voor Have I Been Pwned bekend zal maken.

Reacties (5)
03-03-2020, 14:57 door Anoniem
Nogal wiedes, dat deuren open staan is 1, dat je ze meldt is 2 maar als je je voor dat melden laat uitkopen dan ga je zelf ver over de scheef en loop je tegen enorme claims aan. Lijken pikken heet zo iets.
KPMG zou haar praktijken beteren.
Ben benieuwd of ze een 100% negatief advies aan mr Hunt hebben opgesteld.
03-03-2020, 15:04 door Anoniem
Hoewel dat troy hunt een hele pagina heeft gemaakt hoe je met hem in contact kan komen, blijkt het voor mij toch nog moeilijk te zijn. Ik had gehoopt dat ik met de nieuwe oprichter sneller in contact had kunnen komen. Dus ik vind het wel erg jammer!
03-03-2020, 16:21 door Anoniem
Ik snap niet dat Google of FB er niet een paar centen tegenaan klapt, inmiddels is die database vrijwillig aangevuld met miljoenen adressen door mensen die wel even wilde checken of ze er in voorkwamen.

Daarnaast snap ik niet dat die gast niet vervolgd wordt doordat hij illegaal verkregen email adressen in zijn bezit heeft en exploiteerd.
03-03-2020, 19:25 door Anoniem
Door Anoniem: Ik snap niet dat Google of FB er niet een paar centen tegenaan klapt, inmiddels is die database vrijwillig aangevuld met miljoenen adressen door mensen die wel even wilde checken of ze er in voorkwamen.

Wat gaat dat Google uiteindelijk opleveren?


Daarnaast snap ik niet dat die gast niet vervolgd wordt doordat hij illegaal verkregen email adressen in zijn bezit heeft en exploiteerd.

Hoezo illegaal? Hij heeft helemaal niets geëxploiteerd, maar alleen de mailadressen bekendgemaakt. Dit valt gewoon onder situational awareness. Sommige databases staan ook plaintext op Pastebin en moet je zelfs gebruikers waarschuwen dat hun mailadressen zijn buitgemaakt in een datalek. Sterker nog. Zelfs de politie en diverse overheidsinstanties maken gebruik van hun diensten om inzicht te krijgen of hun domeinen ooit zijn gelekt, zodat ze hun personeel hierover kunnen waarschuwen.
03-03-2020, 20:26 door Anoniem
Door Anoniem:
Door Anoniem: Ik snap niet dat Google of FB er niet een paar centen tegenaan klapt, inmiddels is die database vrijwillig aangevuld met miljoenen adressen door mensen die wel even wilde checken of ze er in voorkwamen.


Wat gaat dat Google uiteindelijk opleveren?


Daarnaast snap ik niet dat die gast niet vervolgd wordt doordat hij illegaal verkregen email adressen in zijn bezit heeft en exploiteerd.

Hoezo illegaal? Hij heeft helemaal niets geëxploiteerd, maar alleen de mailadressen bekendgemaakt. Dit valt gewoon onder situational awareness. Sommige databases staan ook plaintext op Pastebin en moet je zelfs gebruikers waarschuwen dat hun mailadressen zijn buitgemaakt in een datalek. Sterker nog. Zelfs de politie en diverse overheidsinstanties maken gebruik van hun diensten om inzicht te krijgen of hun domeinen ooit zijn gelekt, zodat ze hun personeel hierover kunnen waarschuwen.

De data (email adressen) zijn afkomstig van lekkende of gehackte sites, hij heeft die data van o.a. Pastebin af getrokken en in een database gezet. Daarmee is die data illegaal verkregen en zou in beslag genomen moeten worden.

Dat politie en overheden die data gebruiken maakt het daarmee niet legaal.

De belastingdienst in Nederland heeft eens een CD verkregen waar gestolen data opstond dat was ook al zeer discutabel maar uiteindelijk wel toegestaan, de reden laat zich raden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.