image

Broncode datalekzoekmachine Have I Been Pwned wordt open source

vrijdag 7 augustus 2020, 13:30 door Redactie, 21 reacties

De broncode van datalekzoekmachine Have I Been Pwned wordt open source, zo heeft bedenker Troy Hunt bekendgemaakt. Via Have I Been Pwned kunnen internetgebruikers op basis van hun e-mailadres zoeken of hun gegevens via bekende datalekken openbaar zijn geworden.

Door het openbaar maken van de broncode wil Hunt onder andere de zorgen van gebruikers wegnemen over de manier waarop de zoekmachine werkt. Zo krijgt hij geregeld de vraag of zoekopdrachten van gebruikers worden bijgehouden, om zo een nieuwe lijst van e-mailadressen aan te leggen. Iets wat niet het geval is, merkt Hunt op. Door het openbaar maken van de code kan straks iedereen dat zien.

Een andere reden voor het openbaar maken van de broncode is om andere personen te vinden die willen meehelpen met de ontwikkeling van het project. Hunt was lange tijd opzoek naar een partij die Have I Been Pwned wilde overnemen. Na een proces van elf maanden, waarbij Hunt maanden met één partij overlegde waarvan hij dacht dat die de datalekzoekmachine zou overnemen, liepen de onderhandelingen op niets uit. Daarop besloot hij de datalekzoekmachine niet van de hand te doen.

Wanneer de broncode precies open source wordt kan Hunt nog niet zeggen. Volgens de bedenker is dit geen eenvoudig proces. "Ik moet de juiste onderdelen van het project op de juiste manier en de juiste tijd openbaar maken", merkt hij op. Een proces wat hij naar eigen zeggen niet alleen kan doen. Hunt is dan ook in overleg met verschillende personen die hem hierbij willen helpen.

Naast de code van de zoekmachine is er ook de data afkomstig van de datalekken. Of die ook openbaar zal worden houdt Hunt nog in het midden. Ook wanneer de code open source wordt wil hij dat de privacy van de datalekgegevens is gewaarborgd. "Dat is niet eenvoudig. Het is haalbaar, maar niet eenvoudig", aldus Hunt. Have I Been Pwned bevat op dit moment de e-mailadressen van meer dan tien miljard gecompromitteerde accounts, afkomstig van 473 gecompromitteerde websites.

Reacties (21)
07-08-2020, 16:49 door Anoniem
10 miljard redenen om Hunt te vervolgen wegens heling.
07-08-2020, 17:17 door Anoniem
Door Anoniem: 10 miljard redenen om Hunt te vervolgen wegens heling.
Je hebt duidelijk geen idee waar je het over hebt. Er wordt niets geheeld.
07-08-2020, 19:52 door Anoniem
Door Anoniem: 10 miljard redenen om Hunt te vervolgen wegens heling.
Wat zijn de redenen om deze opmerking te maken? Het gros van de mensen schijnt het overigens niet met je eens te zijn gezien zijn verhaal in [url=https://www.troyhunt.com/project-svalbard-have-i-been-pwned-and-its-ongoing-independence/]Project Svalbard, Have I Been Pwned and its Ongoing Independence[/url] waar hij aangeeft dat er geen serieus juridisch probleem is geweest voor HIBP. En dat meerdere regeringen aansluiting hebben gezocht erbij.
07-08-2020, 19:56 door Anoniem
Door Anoniem: 10 miljard redenen om Hunt te vervolgen wegens heling.

Grappig, want de politie promoot juist deze site: https://www.security.nl/posting/493655/Belgische+politie+promoot+website+Have+I+Been+Pwned

De bedoelingen van Troy zijn immers goed: jij kunt voor jezelf zien of je in een datalek zat, waarover die andere bedrijven je niet altijd informeren. Ik heb eigenlijk nooit gezocht of je je kunt opt-outen, zodat jouw e-mailadres nooit meer wat zegt, want in Nederland zou je inderdaad wel gedoe hebben met GDPR op de manier waarop de site op dit moment is opgezet (slaat alles op wat in de lek zat incl. nog onbekenden).

Misschien is het een goede voor Europol of Interpol om deze site juist op te kopen en voort te zetten.

Wat dat betreft is het een aanvulling op https://stopheling.nl
08-08-2020, 06:22 door Anoniem
Je vult je email adres in en je browser en ipadres staan in delog files vd website.
08-08-2020, 09:24 door [Account Verwijderd]
Dames en heren,
Waarom zoveel reacties op een trol (16:49 uur) [1] die stinkend jaloers is op het intellect; de in de basis aanwezige intelligentie voor dat intellect en dat alles inhoudelijk concreet maakt op een website genaamd: haveIbeenpowned.

Het wordt de heer Troy Hunt gewoon te veel om zijn nuttige website bij te houden. Hij doet dat naar zijn zeggen alleen. Daarom had hij besloten deze van de hand te doen, een extensieve zoektocht van 11 maanden zonder succes. Onbaatzuchtigheid is een zeldzame menselijke eigenschap, en daarom besluit hij nu de code in open-source vrij te geven.

[1] Wat mij altijd verbaast - en zal blijven verbijsteren - is de verwrongen geest van een toenemend aantal mensen die pathologisch een hekel hebben aan het goede in de mens en in het kleinste detail een reden zien om te gaan trollen.

Don't feed the trol! Hoe vaak moet dat nog herhaald worden?
08-08-2020, 10:44 door Anoniem
Ik (anoniem 16:49) weet heel goed waar ik het over heb, Troy Hunt heeft actief deelgenomen aan het zich verschaffen van toegang tot sites die niet onder zijn beheer vallen of waar hij toestemming voor heeft en daar e-mail adressen gedownload, dat heet in Nederland DIEFSTAL. Daarnaast heeft hij van meerdere sites zoals Pastebin e-mail adressen geplukt die van DIEFSTAL afkomstig zijn, dat heet in Nederland HELING. Hij heeft ze in een database gepropt en er een API eromheen gemaakt om zo de controle uit te kunnen oefenen via een WEB gui.

Er is geen enkel bewijs dat ingevoerde adressen bij HIBP NIET toegevoegd worden aan de database.

Hij is al op zoek geweest naar een KOPER van HIBP maar niet tot een deal kunnen komen, als je zo onbaatzuchtig bent geef die site dan weg aan een instantie zoals b.v. EFF zodat er controle mogelijk is.
08-08-2020, 12:29 door souplost
Door Anoniem: Ik (anoniem 16:49) weet heel goed waar ik het over heb, Troy Hunt heeft actief deelgenomen aan het zich verschaffen van toegang tot sites die niet onder zijn beheer vallen of waar hij toestemming voor heeft en daar e-mail adressen gedownload, dat heet in Nederland DIEFSTAL. Daarnaast heeft hij van meerdere sites zoals Pastebin e-mail adressen geplukt die van DIEFSTAL afkomstig zijn, dat heet in Nederland HELING. Hij heeft ze in een database gepropt en er een API eromheen gemaakt om zo de controle uit te kunnen oefenen via een WEB gui.

Er is geen enkel bewijs dat ingevoerde adressen bij HIBP NIET toegevoegd worden aan de database.

Hij is al op zoek geweest naar een KOPER van HIBP maar niet tot een deal kunnen komen, als je zo onbaatzuchtig bent geef die site dan weg aan een instantie zoals b.v. EFF zodat er controle mogelijk is.
Wie beweert bewijst. Jij komt met geen enkel bewijs. Een email adres plukken van een website is geen heling. Zo te lezen snap je ook niet wat open source betekent, gezien je wens om die site weg te geven.
08-08-2020, 12:51 door Anoniem
Door Anoniem: Ik (anoniem 16:49) weet heel goed waar ik het over heb, Troy Hunt heeft actief deelgenomen aan het zich verschaffen van toegang tot sites die niet onder zijn beheer vallen of waar hij toestemming voor heeft en daar e-mail adressen gedownload, dat heet in Nederland DIEFSTAL.
Zoek het eens op. Heb je zelfs maar de moeite gedaan om de betreffende artikelen in het wetboek van strafrecht op te zoeken? Ik vermoed het niet, dan had je namelijk beter moeten weten.

Diefstal gaat over het wegnemen van 'een goed', zodat het niet meer beschikbaar is voor degene bij wie het is weggenomen. Kopiëren van gegevens valt per definitie niet onder diefstal.
Daarnaast heeft hij van meerdere sites zoals Pastebin e-mail adressen geplukt die van DIEFSTAL afkomstig zijn, dat heet in Nederland HELING.
Voor heling geldt hetzelfde. En er is een reden waarom de wetgever het niet onder heling wil laten vallen. Het zou bijvoorbeeld het werk van journalisten ernstig in gevaar brengen als het publiceren van misstanden onder heling viel en daarmee een misdrijf was.

Dat wil niet zeggen dat computervredebreuk niet strafbaar is, dat het daarbij kopiëren van data het vergrijp niet zwaarder maakt, en dat het beschikken over een gegevensdrager met dergelijke gegevens geen vergrijp is. Daar zijn ook wetsartikelen voor, maar die noemen het niet diefstal en heling. Dat kan nog heel wat kanten opgaan, van computervredebreuk tot het schenden van bedrijfs-, ambts-, beroeps- en staatsgeheimen, maar het kan ook bijvoorbeeld een schending van auteursrecht zijn.

Als je wilt beoordelen of Troy Hunt misdaden pleegt met HIBP dan volstaat het niet om simpelweg "diefstal" en "heling" te roepen terwijl die termen duidelijk niet van toepassing zijn. Dan zal je moeten uitzoeken hoe het werkelijk zit. De juridische werkelijkheid past zich echt niet aan aan wat een leek meent te weten, ook niet als die heel stellig zijn gelijk verkondigt.

En zonder het in detail uit te zoeken kan je je afvragen waarom niet wereldwijd allerlei partijen Troy Hunt voor de rechter hebben gesleept. Een voor de hand liggende verklaring is dat hij het zo heeft opgezet dat geen enkele jurist het als een misdrijf ziet.
08-08-2020, 17:05 door Anoniem
Door souplost:
Door Anoniem: Ik (anoniem 16:49) weet heel goed waar ik het over heb, Troy Hunt heeft actief deelgenomen aan het zich verschaffen van toegang tot sites die niet onder zijn beheer vallen of waar hij toestemming voor heeft en daar e-mail adressen gedownload, dat heet in Nederland DIEFSTAL. Daarnaast heeft hij van meerdere sites zoals Pastebin e-mail adressen geplukt die van DIEFSTAL afkomstig zijn, dat heet in Nederland HELING. Hij heeft ze in een database gepropt en er een API eromheen gemaakt om zo de controle uit te kunnen oefenen via een WEB gui.

Er is geen enkel bewijs dat ingevoerde adressen bij HIBP NIET toegevoegd worden aan de database.

Hij is al op zoek geweest naar een KOPER van HIBP maar niet tot een deal kunnen komen, als je zo onbaatzuchtig bent geef die site dan weg aan een instantie zoals b.v. EFF zodat er controle mogelijk is.
Wie beweert bewijst. Jij komt met geen enkel bewijs. Een email adres plukken van een website is geen heling. Zo te lezen snap je ook niet wat open source betekent, gezien je wens om die site weg te geven.


Klopt, zelf e-mail adressen, die niet publiekelijk toegankelijk zijn, van een site plukken is geen heling, helemaal juist, dat is DIEFSTAL. Opensource, ja de code om de adressen te hashen en beschikbaar te maken via de web gui, dat gaat hij doen, NIET de 10 miljard gestolen e-mail adressen openbaar maken.

Lees je maar eens goed in hoe hij aan de adressen gekomen is en waarom het niet tot een verkoop deal gekomen is.
08-08-2020, 17:48 door Anoniem
Door souplost:
Wie beweert bewijst. Jij komt met geen enkel bewijs. Een email adres plukken van een website is geen heling. Zo te lezen snap je ook niet wat open source betekent, gezien je wens om die site weg te geven.

Het gezegde is "wie eist bewijst" (en ook dat klopt niet volgens het Nederlandse recht) daarnaast kan je je even inlezen:

https://www.security.nl/posting/665049/Have+I+Been+Pwnd+passeert+10+miljard+gelekte+accounts+na+datalek+bij+Wattpad
https://www.security.nl/posting/661790/Onderzoeker+deelt+dataset+met+572+miljoen+gelekte+wachtwoordhashes
https://www.security.nl/posting/659536/Organisatie+gezocht+die+69+miljoen+e-mailadressen+via+onbeveiligde+server+lekte

Huh, opensource kon je toch niet verkopen volgens jou? Het gaat niet om de code om de gegevens toe te voegen aan de database maar de data zelf.
https://www.security.nl/posting/646409/Datalekzoekmachine+Have+I+Been+Pwned+wordt+niet+verkocht

En nu zelf verder zoeken:

https://www.security.nl/search?keywords=Troy+Hunt&c%5B%5D=1&c%5B%5D=4
08-08-2020, 18:59 door Anoniem
Ik zal het nog een keer in Jip en Janneke taal uitleggen.

Ik ben hacker Hans (fictief) en breek in bij 500pixels.com (fictief).
Vervolgens steelt Hansje daar 14.8 miljoen email adressen en zet deze op een website copypasta.com (fictief natuurlijk)
Daarna ziet Troyke de Hunter (fictief) die adressen op copypasta.com staan en frot deze in een database.

Of Troyke de Hunter doet actief mee (Zoals hierboven) aan het "zich toegang verschaffen" tot een computer die niet van hem is en haalt daar 23 miljoen adressen weg en frot deze ook in zijn database.

Hij komt er mee weg omdat hij de database aanbiedt voor een "nobel" doel namelijk maar het is heling en diefstal.

Als Troyke de Hunter genoeg geld had gekregen voor zijn website was hij overstag gegaan dan zou de wereld te klein zijn.


gr,
Hansje W.
08-08-2020, 19:46 door Anoniem
Door Anoniem:
Door Anoniem: Ik (anoniem 16:49) weet heel goed waar ik het over heb, Troy Hunt heeft actief deelgenomen aan het zich verschaffen van toegang tot sites die niet onder zijn beheer vallen of waar hij toestemming voor heeft en daar e-mail adressen gedownload, dat heet in Nederland DIEFSTAL.
Zoek het eens op. Heb je zelfs maar de moeite gedaan om de betreffende artikelen in het wetboek van strafrecht op te zoeken? Ik vermoed het niet, dan had je namelijk beter moeten weten.

Diefstal gaat over het wegnemen van 'een goed', zodat het niet meer beschikbaar is voor degene bij wie het is weggenomen. Kopiëren van gegevens valt per definitie niet onder diefstal.
Daarnaast heeft hij van meerdere sites zoals Pastebin e-mail adressen geplukt die van DIEFSTAL afkomstig zijn, dat heet in Nederland HELING.
Voor heling geldt hetzelfde. En er is een reden waarom de wetgever het niet onder heling wil laten vallen. Het zou bijvoorbeeld het werk van journalisten ernstig in gevaar brengen als het publiceren van misstanden onder heling viel en daarmee een misdrijf was.

Dat wil niet zeggen dat computervredebreuk niet strafbaar is, dat het daarbij kopiëren van data het vergrijp niet zwaarder maakt, en dat het beschikken over een gegevensdrager met dergelijke gegevens geen vergrijp is. Daar zijn ook wetsartikelen voor, maar die noemen het niet diefstal en heling. Dat kan nog heel wat kanten opgaan, van computervredebreuk tot het schenden van bedrijfs-, ambts-, beroeps- en staatsgeheimen, maar het kan ook bijvoorbeeld een schending van auteursrecht zijn.

Als je wilt beoordelen of Troy Hunt misdaden pleegt met HIBP dan volstaat het niet om simpelweg "diefstal" en "heling" te roepen terwijl die termen duidelijk niet van toepassing zijn. Dan zal je moeten uitzoeken hoe het werkelijk zit. De juridische werkelijkheid past zich echt niet aan aan wat een leek meent te weten, ook niet als die heel stellig zijn gelijk verkondigt.

En zonder het in detail uit te zoeken kan je je afvragen waarom niet wereldwijd allerlei partijen Troy Hunt voor de rechter hebben gesleept. Een voor de hand liggende verklaring is dat hij het zo heeft opgezet dat geen enkele jurist het als een misdrijf ziet.

Mijn eerste reactie was dan ook "vervolgen" van die gast, laat de rechter zich daar maar over buigen dan.

En volgens jou kan data dus niet gestolen worden? Vraag maar eens aan Snowden hoe het zit dan:
https://www.security.nl/posting/489660/Opgepakte+NSA-medewerker+had+terabytes+aan+data+gestolen

En zo zijn er nog honderden voorbeelden, DuckDuckGo maar eens.
08-08-2020, 22:54 door souplost
Door Anoniem:
Door souplost:
Wie beweert bewijst. Jij komt met geen enkel bewijs. Een email adres plukken van een website is geen heling. Zo te lezen snap je ook niet wat open source betekent, gezien je wens om die site weg te geven.

Het gezegde is "wie eist bewijst" (en ook dat klopt niet volgens het Nederlandse recht) daarnaast kan je je even inlezen:

https://www.security.nl/posting/665049/Have+I+Been+Pwnd+passeert+10+miljard+gelekte+accounts+na+datalek+bij+Wattpad
https://www.security.nl/posting/661790/Onderzoeker+deelt+dataset+met+572+miljoen+gelekte+wachtwoordhashes
https://www.security.nl/posting/659536/Organisatie+gezocht+die+69+miljoen+e-mailadressen+via+onbeveiligde+server+lekte

Huh, opensource kon je toch niet verkopen volgens jou? Het gaat niet om de code om de gegevens toe te voegen aan de database maar de data zelf.
https://www.security.nl/posting/646409/Datalekzoekmachine+Have+I+Been+Pwned+wordt+niet+verkocht

En nu zelf verder zoeken:

https://www.security.nl/search?keywords=Troy+Hunt&c%5B%5D=1&c%5B%5D=4
Lees het artikel even opnieuw aub. De overname ging om de zoekmachine. Niet de data. Die code is nog niet opensource maar dat is hij wel van plan nu de overname is mislukt. De data openbaar maken is een ander verhaal. Is lastige om de privacy te kunnen waarborgen. Dat je open source code niet kan verkopen is een verzinsel van jou niet van mij.
09-08-2020, 00:34 door Anoniem
Die man zal een goede advocaat nodig hebben open source wil zeggen iedereen ziet de code en dan kunnen er claims komen . Maar positief blijven open source vindt ik wel goede mannier om aan te tonen dat je het oprecht meent.
Tja als je zegt dat wp niet veilig is ben ik dan ook strafbaar sommige mensen moeten gewoon eens leren dat je op een website geen opendeurdagen houd en eens gezien altijd gezien . Paden zonder wachtwoorden of afscherming nooit een goede oplossing ... nu als je via htaccess een wachtwoord vraag maar er is geen user * ook geen login mogelijk voor de directory en bijgevolg enkel door system berijkbaar(in combinatie met ander beveiligingen).
09-08-2020, 12:36 door Anoniem
Hoi souplost,

Waarom hebben sommige eindgebruikers dan zoveel aarzeling om HIBP te raadplegen?
Is deze service een beetje vergelijkbaar met die van shodan.io?

Kan de data op enige manier worden misbruikt?
Elke resource kan ten goede en ten kwade worden aangewend, toch?

luntrus
10-08-2020, 10:27 door Anoniem
Door Anoniem: Mijn eerste reactie was dan ook "vervolgen" van die gast, laat de rechter zich daar maar over buigen dan.
Als je wilt dat hij vervolgd wordt helpt het om aangifte tegen hem te doen. Een klacht indienen bij AP (op basis van Nederlandse e-mailadressen in de database) is ook een weg die je kan bewandelen. Vraag je eens af waarom een wereldwijd zeer bekende dienst nog nergens juridische problemen heeft gehad.

En volgens jou kan data dus niet gestolen worden?
Ik reageerde op: "dat heet in Nederland DIEFSTAL". Dringt niet tot je door wat ik erover schreef? Het is in Nederland pas DIEFSTAL als iets is WEGGENOMEN. En zo wordt het niet alleen in Nederland gezien. Als je op de Engelstalige Wikipedia "theft" opzoekt is de eerste zin:
Theft is the taking of another person's property or services without that person's permission or consent with the intent to deprive the rightful owner of it.
En bij "data theft" staat:
The phrase data theft is actually a misnomer, since unlike theft the typical data theft methods typically do not deprive the owner of their data, but rather create an additional, unauthorized copy.

Dat in informeel taalgebruik volop "datadiefstal" of "data theft" gebruikt wordt, inclusief in de nieuwsmedia, wil nog niet zeggen dat dat het ook als juridische begrip van toepassing is. Een beschuldiging van diefstal en/of heling komt voor de rechter niet ver als dat niet is wat er gebeurd is volgens de juridische definities.

Ben jij een IT'er? Val je erover als mensen "hacker" zeggen als ze "cracker" bedoelen? Of als ze "wiki" zeggen als ze "wikipedia" bedoelen? Of als ze "downloaden" zeggen als ze "uploaden" bedoelen? Of als ze "programma" zeggen als ze een Word-document bedoelen? Of heb je soortgelijke ergernissen? Snap dan dat bij juridische zaken het juiste taalgebruik er ook toe doet, en als je het hebt over welke misdrijven iemand volgens jou heeft begaan en hoe je die in Nederland noemt, dat dan de definities in het wetboek van strafrecht leidend zijn, niet informeel taalgebruik.

Als je hoog van de toren blaast dat Troy Hunt DIEFSTAL en HELING pleegt met HIBP en daarvoor vervolgd moet worden dan heb je het over juridische termen maar sla je de plank volledig mis.
11-08-2020, 12:07 door Anoniem
Zoals gewoonlijk. Veel geschreeuw, veel emoties en helaas weinig verstand van zaken. Altijd opvallend, hoe veel reaguurders denken verstand van wetgeving wereldwijd te hebben.
Tipje uit de echte rechtswereld, elk land is anders en gebruiken HUN wetten!
12-08-2020, 22:09 door Anoniem
Door Anoniem: Zoals gewoonlijk. Veel geschreeuw, veel emoties en helaas weinig verstand van zaken. Altijd opvallend, hoe veel reaguurders denken verstand van wetgeving wereldwijd te hebben.
Tipje uit de echte rechtswereld, elk land is anders en gebruiken HUN wetten!
Klopt, en diezelfde reaguurders kennen het verschil niet tussen wettelijke regels en hun eigen onderbuikgevoelens.
18-08-2020, 15:12 door Anoniem
Door Anoniem:
Door Anoniem: Zoals gewoonlijk. Veel geschreeuw, veel emoties en helaas weinig verstand van zaken. Altijd opvallend, hoe veel reaguurders denken verstand van wetgeving wereldwijd te hebben.
Tipje uit de echte rechtswereld, elk land is anders en gebruiken HUN wetten!
Klopt, en diezelfde reaguurders kennen het verschil niet tussen wettelijke regels en hun eigen onderbuikgevoelens.

Reaguurders ..., moeten jullie niet naar Geenstijl of zo?
18-08-2020, 15:15 door Anoniem
Door Anoniem: Hoi souplost,

Waarom hebben sommige eindgebruikers dan zoveel aarzeling om HIBP te raadplegen?
Is deze service een beetje vergelijkbaar met die van shodan.io?

Kan de data op enige manier worden misbruikt?
Elke resource kan ten goede en ten kwade worden aangewend, toch?

luntrus

Troy Hunt zou ook ieder e-mail adres persoonlijk aan kunnen schijven i.p.v. al die data verzamelen met het risico dat deze van zijn site gestolen wordt. Oh nee, stelen kan niet volgens een enkeling hier. Nee Troy wil mensen lokken naar zijn site en in de media blijven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.