Quando as senhas são roubadas, esse australiano alerta o mundo

Have I Been Pwned, de Troy Hunt, é um local centralizado para aprender se você está entre os milhões de afetados por violações de segurança. E ele está tentando fazer isso de maneira responsável.

Quando as senhas são roubadas, esse australiano alerta o mundo

Enormes bancos de dados de contas de usuários parecem ser hackeados diariamente. O número de contas e senhas expostas - geralmente com criptografia fraca - aumentou para bilhões. No entanto, a responsabilidade e o constrangimento deixaram as empresas relutantes em divulgar rapidamente que foram hackeados.



Isso parece estar mudando, em parte devido às novas leis em vigor ou prestes a ser na União Europeia e alguns estados dos EUA, incluindo a Califórnia, que impõem penalidades em atrasos na notificação.

Mas também é devido à ascensão acidental de um australiano ao topo do ecossistema de hack de divulgação de contas. Troy Hunt's Fui sacaneado tem dados de mais de 305 violações e 77.000 despejos seletivos (chamados de pastas) que totalizam mais de 5,3 bilhões de registros de contas.



No site de Hunt, os visitantes podem digitar seu endereço de e-mail para ver se suas informações fazem parte de alguma violação. Mas mais de 20 milhões de pessoas assinam seu serviço gratuito de notificação por e-mail. Eles recebem alertas de violação que muitas vezes são programados para a divulgação por uma empresa que foi hackeada - ou, quando as empresas se recusam a reconhecer os esforços de Hunt em um aviso ético antecipado, antes que as palavras oficiais de uma violação sejam divulgadas.



Sempre que Hunt adiciona detalhes de outro da inevitável cavalgada de violações de sites públicos e privados, os assinantes recebem e-mail. O número de contas envolvidas varia de dezenas de milhares a centenas de milhões. Apenas nos últimos dias, as pessoas me enviaram dezenas de violações, diz Hunt.

Ele também tem um cache de mais de meio bilhão de senhas em texto simples que foram reveladas em algum ponto de invasões. Por meio de solicitações automatizadas, ele alimenta cerca de 8 milhões de respostas por dia para serviços que verificam se uma determinada senha apareceu em alguma violação - e ele faz isso de forma inteligente, para que seu serviço não precise receber as senhas das pessoas, mesmo que brevemente, para realizar o verificando.

O nome de Have I Been Pwned riffs de pwned, um termo da cultura jovem dos anos 2000 que vagamente significa que alguém o dominou, ou o possuiu, em um videogame - ou sequestrando alguma posse digital sua. Agora é usado rotineiramente no mundo daqueles que exploram as fraquezas do sistema para o bem ou para o mal como um termo da arte.



Baseado em Gold Coast, Queensland, não muito longe de Brisbane, Hunt trabalha em tempo integral como consultor de segurança, palestrante e treinador. Have I Been Pwned ocupa cerca de 20% do seu tempo, diz ele, muitas vezes na forma de trabalho à noite, fins de semana e feriados. É um esforço solo, e ele manteve os custos baixos usando serviços em nuvem e através de esforços constantes para melhorar a eficiência.

O site de Hunt parece um retrocesso aos primeiros dias idealistas da Internet pública. Ele diz que seu objetivo sempre foi: como fazemos as coisas boas acontecerem depois que coisas ruins acontecem? Ele simplesmente criou algo útil para preencher um vazio que ninguém com bolsos mais fundos havia abordado.

Comportamento antiético, resposta ética

Hunt foi motivado a criar Have I Been Pwned em 2013 como sua resposta às crescentes preocupações que violam - como o vazamento de 150 milhões de contas Adobe - resultaria em uma onda de exploração. Eu estava vendo uma grande prevalência de violações de dados com contas em que eu pensei, por um lado, as pessoas provavelmente não sabem sobre isso [violação] e realmente deveriam, diz Hunt. Por outro lado, estava encontrando evidências quantificáveis ​​de algumas coisas que sabemos sobre a maneira como as pessoas gerenciam sua segurança online.



Várias violações confirmaram que muitas pessoas realmente usam uma única senha em vários serviços. ( Um estudo de 2013 do regulador Ofcom do Reino Unido descobriram que 55% das pessoas usavam a mesma senha para todas as suas contas e um quarto usava aniversários ou nomes.) Reutilizar senhas - mesmo aquelas difíceis de adivinhar - é problemático, é claro, porque alguém que obteve sua senha para uma A conta pode então tentar a mesma combinação de e-mail e senha em qualquer outro site de sua escolha. Eles podem até usar ferramentas automatizadas para tentar fazer login em milhares de sites.

Em 2013, quando Hunt estava formulando seus planos, o uso de autenticação de dois fatores - que é projetada para frustrar intrusos mesmo que eles tenham sua senha - era muito mais raro. Mas mesmo alguns sites com autenticação de dois fatores permitirão que você o ignore, solicitando uma redefinição de senha por e-mail, possivelmente usando uma conta de e-mail com uma senha que foi violada.

Uma coisa é entediar decifrar senhas uma de cada vez, usando engenharia social, registradores de pressionamento de tecla e outros métodos. Outra é obter acesso a um banco de dados de contas, especialmente aquele que vaza publicamente. Com o método comumente usado para criptografar senhas alguns anos atrás - e infelizmente ainda em uso hoje - os crackers podem usar bancos de dados pré-computados de versões criptografadas das senhas mais comuns e combiná-las instantaneamente. Isso normalmente desbloqueia uma grande porcentagem de senhas de contas, porque as pessoas geralmente usam senhas simples ou aquelas que seguem padrões fáceis de antecipar.

Além disso, com a criptografia de senha típica, se 100.000 pessoas em um site usam a mesma senha, um intrépido ladrão de identidade ganha instantaneamente 100.000 combinações de conta / senha que pode tentar de outra forma.

Por anos, os desenvolvedores tiveram acesso a ferramentas muito mais fortes que tornam única a versão criptografada de cada senha e que exigem muito mais computação para quebrar cada senha. No entanto, essas opções prontamente disponíveis não são amplamente implantadas, como fica claro a cada nova violação.

Os usuários podem minimizar sua exposição criando senhas exclusivas para cada site usando gerenciadores de senhas, alguns dos quais agora são integrados a sistemas operacionais e navegadores. Mas muitos não aproveitam essas ferramentas. Mesmo as pessoas que ouvem a sabedoria convencional sobre a criação de senhas fortes podem estar seguindo conselhos que estão completamente errados e têm estado assim há anos. E muitos de nós temos contas antigas para as quais não alteramos senhas há muitos anos, mesmo que agora tenhamos a religião da senha exclusiva.

Filme de homem de 6 milhões de dólares

Hunt argumentou que uma maneira de ajudar a deter a extensão desse problema era construir um site no qual as pessoas pudessem verificar se seu endereço de e-mail correspondia a alguma violação divulgada publicamente. Os dados de muitas das principais violações estão disponíveis publicamente - às vezes porque os bandidos os liberaram intencionalmente para causar confusão. (Na maioria desses despejos, as senhas eram criptografadas, mas tão fracas que não era preciso muito conhecimento para determiná-las por meio de cracking de força bruta.) Mais tarde, ele adicionou um serviço que permite que os visitantes se inscrevam para receber uma mensagem se seu endereço apareceu em qualquer violação que ele acrescentou posteriormente.

Embora qualquer pessoa possa digitar um endereço de e-mail e ver quais violações o incluem, Hunt assinala alguns vazamentos de dados como confidenciais, como o do site de namoro Ashley Madison, que incentiva a infidelidade. Nesses casos, para evitar que alguém use o Have I Been Pwned para verificar a atividade online de outra pessoa, as correspondências são enviadas apenas por e-mail para os endereços em questão e não aparecem na pesquisa do site público.

Have I Been Pwned também não fornece qualquer vínculo entre endereços de e-mail e senhas. Se alguém enviar um e-mail para Hunt para perguntar qual senha está associada a uma conta, a resposta dele será: É a que você colocou lá.

A gestão cuidadosa de Hunt dos dados que ele coletou está em contraste com sites gratuitos e pagos que fornecem acesso a registros totalmente expostos, marcando uma delimitação nítida entre informações amplamente úteis apenas para a parte que procura seu endereço e detalhes que poderiam permitir o roubo de identidade e sequestro de conta . Por exemplo, o site LeakedSource.com cobrava uma taxa para obter acesso a todos os detalhes - incluindo as senhas que ele descriptografou - tudo sem verificar a identidade. A aplicação da lei apreendeu seus servidores em janeiro de 2017 e Autoridades canadenses acusaram um homem em janeiro de 2018 com tráfico de informações de identidade entre outros crimes alegados. Hunt nunca planejou fazer algo assim, mas ficar o mais longe possível da ideia provou ser prudente.

Fazendo a coisa certa

O alto perfil de Have I Been Pwned e a abordagem metódica de Hunt para a divulgação tornam seu trabalho uma perda de tempo. As pessoas rotineiramente enviam a ele informações sobre as violações que encontram, às vezes envolvendo um pequeno número de pessoas em, digamos, um consultório médico particular. Hunt diz que tal informação vem tanto de chapéus pretos que querem mostrar suas proezas hacker para ele quanto de chapéus brancos que querem fazer a coisa certa. Ambos os grupos estão preocupados em como lidar com as sutilezas de tais divulgações sem potencialmente cair em águas quentes.

Ele não quer adicionar nenhuma violação ao seu site antes de ter certeza de que o grupo afetado sabe sobre isso. Alguns não respondem, especialmente pequenas organizações. Ele também teve algumas respostas belicosas, como quando não conseguia disparar um alarme em um site de fan-fiction e notificava seus usuários antes que os administradores do site agissem. Hunt diz que os operadores do site negaram uma violação, congelaram os tópicos de discussão e lançaram calúnias sobre sua legitimidade.

Esse tipo de resposta o desgasta. Não isso de novo, ele pensa consigo mesmo. Eu tenho que passar por essa dor.

[Foto: cortesia de Troy Hunt]

No entanto, ele foi estimulado por uma mudança acontecendo entre empresas maiores, em parte devido ao que ele descreve como uma mudança nas atitudes do usuário. A mudança que vi no sentimento do consumidor em relação às violações, especialmente no ano passado, mudou de 'esses caras são uma droga, porque eles tiveram uma violação de dados' para 'ah, as violações de dados são uma droga, [mas] elas só são ruins se forem lidar mal com isso, & apos; ele diz.

De acordo com Hunt, as empresas também parecem mais prontas para reconhecer o problema e entrar em contato com os usuários registrados imediatamente. Algumas empresas parecem estar rastreando endereços de e-mail liberados em outras violações e avisam os usuários de seu serviço sobre o potencial de uma senha reutilizada, ou redefinem preventivamente a senha da conta do usuário apenas para garantir.

As leis de privacidade de dados reforçaram o lado jurídico, o que deve fazer com que os consultores jurídicos das empresas e até mesmo os conselhos de administração pressionem por melhor segurança e divulgação. O Regulamento Geral de Proteção de Dados da União Europeia exige penas severas para os piores crimes. A nova Lei de Privacidade do Consumidor da Califórnia, que entra em vigor em 1º de janeiro de 2020, é mais fraca do que o GDPR, mas ainda tem força e pode impor multas significativas por comportamento enganoso ou negligente. Alabama e Dakota do Norte aprovaram leis de violação de dados na sequência da violação Equifax de 2017 de quase 150 milhões de registros de consumidores. Essas e outras regras favorecem as empresas que divulgam pronta e integralmente; atrasos e outras travessuras acarretam pesadas multas.

Hunt observa com forte aprovação que a plataforma de discussão Disqus e o apresentador de imagens Imgur fizeram revelações completas 24 horas após ele entrar em contato com eles. Ele diz que as duas empresas explicaram abertamente as violações a seus usuários, detalharam o que fizeram em resposta e ofereceram desculpas.

Pagando as contas

Para algo que é tão útil para tantas pessoas, Have I Been Pwned é extremamente econômico de operar. Em junho de 2018, Hunt tweetou sobre suas despesas de uma forma que soava, fugazmente, como se o site o estivesse pesando financeiramente. E uma vez ele gastou poucas centenas de dólares por mês nos serviços da web necessários. Mas sua grande revelação foi que, em junho, ele reduziu esse custo para cerca de um dólar por dia. Desde então, ele fez mais ajustes, e os serviços de nuvem do Microsoft Azure necessários agora custam cerca de 2,6 centavos de dólar por dia.

Alguns apoiadores ajudam a subsidiar o 'Have I Been Pwned' de maneiras modestas. A Cloudflare dá a ele acesso complementar aos serviços de distribuição de conteúdo e mitigação de ataques, mas Hunt diz que seus custos seriam de cerca de um dólar por dia se ele pagasse por eles. Ele também recebe alguma ajuda para seu e-mail de saída, o que ajuda, visto que seu site envia centenas de milhares de e-mails por mês.

Como uma banda de um homem, em tempo parcial, Have I Been Pwned serviu Hunt muito além de qualquer compensação financeira direta. O que ele aprendeu com a construção de um serviço que teve que ser escalonado se traduz diretamente em sua prática de consultoria e treinamento para ganhar dinheiro. Mas ele também assumiu algumas fontes de receita para compensar seus custos pesados ​​e como recompensa pelas muitas centenas de horas que dedicou ao serviço ao longo de cinco anos.

Qualquer pessoa pode usar sua operação de verificação de senha gratuitamente e até mesmo baixar a versão completa do banco de dados Have I Been Pwned. No entanto, a Hunt também oferece um serviço pago para empresas que desejam acesso consistente e de alto volume para realizar consultas ao vivo. Os clientes incluem Eve Online, MyLife e AgileBits (o criador do gerenciador de senhas 1Password, que também tem um contrato de patrocínio pago com Hunt), bem como algumas empresas de segurança não identificadas. Esse empreendimento comercial atende a propósitos maiores, ajudando essas empresas a impedir que os usuários usem senhas já existentes.

Um perfil mais alto

Em novembro de 2017, Hunt veio para Washington, D.C., convidado a testemunhar perante o Comitê de Energia e Comércio da Câmara dos Estados Unidos sobre violações de dados, seu impacto e possíveis atenuações. Ele observou ao comitê que o impacto combinado das violações de dados estava corroendo a sensação de que nossos dados pessoais eram privados o suficiente para validar um login ou nossa identidade. Ele também expressou o desejo de melhorar a educação, porque a maioria das violações surgiu de erros de configuração. No caso da Equifax, por exemplo, a série de decisões erradas da empresa sobre segurança só foram expostas porque um computador voltado para o público tinha um patch de software desatualizado.

Este testemunho refletiu o quão longe os esforços de Hunt chegaram. Mas, como uma empresa de um homem só, ele está ciente de que é o único ponto de falha. Enquanto ele pensa em contratar pessoal, ele observa, não posso delegar minha credibilidade.

A principal preocupação de Hunt não é o tempo, mas sim a responsabilidade. Ele teme que compartilhar mais informações de violações com os usuários possa colocá-lo em um risco que ele não pode suportar, mas que estaria dentro das capacidades de uma empresa maior com uma equipe de engenheiros, arquitetos de segurança e advogados. Isso o levou a considerar a venda de seu serviço. Mas tem que ser a empresa certa e, por enquanto, ele não encontrou essa empresa e ela não o encontrou.

Em um futuro previsível, a operação solo de Hunt continuará a ser indispensável. Os milhões de assinantes do Have I Been Pwned atestam sua importância no vazamento de internet de hoje. E a parte triste é que só se tornará mais popular com o tempo.