Sau bảy năm, việc quản lý thông báo vi phạm thông tin xử lý rất nhiều nhu cầu mỗi ngày từ khách hàng, những người xác minh xem thông tin của họ có bị xâm phạm hay không – hoặc bị cắt, bằng chữ “p” cứng – với số lượng lớn thông tin bị hỏng trong tập dữ liệu của nó, ghi nhớ thông tin lớn nhất tuyệt đối nghỉ cho lịch sử. Khi nó đã phát triển, hiện đang ở ngay dưới mốc 10 tỷ hồ sơ được thâm nhập, phản hồi cho câu hỏi độc đáo của Hunt càng rõ ràng hơn.
“Chính xác, nó có thể xảy ra,” Hunt nói với tôi từ nhà của anh ấy ở Gold Coast của Úc. “Đối với bất kỳ ai trong chúng ta đã sử dụng web một thời gian, điều đó gần như là một sự chắc chắn.”
Bắt đầu là nhiệm vụ thú cưng của Hunt để đạt được sự thành thạo với các yếu tố cần thiết của đám mây của Microsoft, Have I Been Pwned ngay lập tức nổi tiếng, được thúc đẩy ở một mức độ nào đó bởi tính dễ sử dụng, nhưng nhìn chung là bởi sự quan tâm của mọi người.
Khi sự trợ giúp được phát triển, Have I Been Pwned đã thực hiện một công việc bảo mật chủ động hơn bằng cách cho phép các chương trình và giám đốc cụm từ bí mật chuẩn bị trong một backchannel cho Have I Been Pwned để đề phòng việc liên quan đến các mật khẩu bị xâm nhập gần đây trong tập dữ liệu của nó. Đó là một động thái tương tự như một nguồn thu nhập cơ bản để giảm chi phí vận hành của trang web.
Trong mọi trường hợp, sự thịnh vượng của Have I Been Pwned phải được ghi nhận chủ yếu cho Hunt, cả với tư cách là người tiên phong và đại diện duy nhất của nó, một ban nhạc độc quyền điều hành một công ty khởi nghiệp hoạt động, bất chấp quy mô và tài sản hạn chế, vẫn kiếm tiền.
Khi nhu cầu trợ giúp Have I Been Pwned ngày càng mở rộng, Hunt cho biết kiểu chạy trợ giúp mà không có sự trợ giúp từ bên ngoài bắt đầu gây ra thiệt hại đáng kể. Đã có một kế hoạch khởi hành: Hunt đặt trang web có sẵn để mua. Có thể như vậy, sau một năm hoang dã, anh ấy đã trở lại nơi anh ấy bắt đầu.
Trước mốc thành tích 10 tỷ lớn tiếp theo, Have I Been Pwned cho thấy rõ ràng rằng mọi thứ đang không kéo lại.
‘Mẹ, tất cả những thứ được coi là của,
Thật vậy, ngay cả trước Have I Been Pwned, Hunt đã không còn lạ lẫm với những thông tin bị phá vỡ.
Đến năm 2011, anh đã nổi tiếng vì thu thập và chia sẻ ít – tạm thời – ngắt thông tin và xuất bản nội dung lên blog về những khám phá của anh. Từng điểm một và các cuộc điều tra có chủ ý của ông cho thấy nhiều lần các khách hàng web đang sử dụng các mật khẩu tương tự bắt đầu từ một trang web rồi đến trang tiếp theo. Vì vậy, khi một trang web bị xâm nhập, các lập trình viên trước đây đã có khóa bí mật tương tự cho các tài khoản dựa trên web khác của khách hàng.
Sau đó là sự sụp đổ của Adobe, “mẹ của mọi sự đổ vỡ”, như Hunt đã mô tả vào thời điểm đó: Hơn 150 triệu tài khoản khách hàng đã bị chiếm đoạt và đang trôi dạt trên web.
Chase nhận được một bản sao của thông tin và, với một loạt các lỗi nhỏ khác nhau, anh ta đã chủ động thu thập, xếp chúng thành một tập dữ liệu có thể truy cập bằng địa chỉ email của một cá nhân, mà Hunt coi là mẫu số nổi tiếng nhất trong mọi cách sắp xếp. của thông tin thâm nhập.
Ngoài ra, Have I Been Pwned đã được hình thành.
Không mất nhiều thời gian để tập dữ liệu của nó phát triển. Thông tin thâm nhập từ Sony, Snapchat và Yahoo trước đó không lâu sau đó, chất đống hàng triệu bản ghi bổ sung trong tập dữ liệu của nó. Tôi đã được kiểm tra từ bao lâu trước khi chuyển sang trang web truy cập để kiểm tra giả sử bạn đã bị xâm nhập. Các chương trình tin tức buổi sáng sẽ tác động đến địa chỉ web của nó, mang lại lượng khách hàng tăng đột biến – đủ để khiến trang web bị ngắt kết nối trong giây lát. Kể từ đó, Chase có lẽ đã bổ sung những điểm đột phá lớn nhất trong tập hợp trải nghiệm của web: Myspace, Zynga, Adult Friend Finder và một số bản ghi spam khổng lồ.
Như Đã Tôi Được Pwned điền vào kích thước và sự thừa nhận, Hunt vẫn là chủ sở hữu duy nhất của nó, chịu trách nhiệm về tất cả những gì từ việc phân loại và xếp chồng thông tin vào tập dữ liệu đến kết luận trang web phải hoạt động như thế nào, bao gồm cả đạo đức của nó.
Chase thực hiện một cách “tôi nghĩ có vẻ ổn” để đối phó với việc quan tâm đến thông tin cá nhân bị thâm nhập của người khác. Không có gì để so sánh với Have I Been Pwned with, Hunt cần phải soạn ra các tiêu chuẩn về cách anh ấy xử lý và luân chuyển rất nhiều thông tin vi phạm như vậy, khá là tế nhị một cách sâu sắc. Anh ấy không thực sự có mọi câu trả lời, tuy nhiên, anh ấy phụ thuộc vào sự thẳng thắn để hiểu lý lẽ của mình, liệt kê các lựa chọn của anh ấy trong các mục blog mở rộng.
Lựa chọn của anh ấy để chỉ cho phép khách hàng tìm kiếm địa chỉ email của họ có vẻ ổn, được xác định bởi nhiệm vụ duy nhất của trang web, tại thời điểm đó, là cho khách hàng biết nếu họ đã bị xâm nhập. Tuy nhiên, đó cũng là một lựa chọn xoay quanh vấn đề bảo mật của khách hàng nhằm xác nhận trong tương lai sự hỗ trợ chống lại thông tin có thể là tế nhị và gây hại nhất mà anh ta sẽ tiếp tục lấy.
Vào năm 2015, Hunt được Ashley Madison chia tay. Một số lượng lớn các cá nhân đã có tài khoản trên trang web, điều này thúc giục khách hàng có một mối tình lãng mạn không được quản lý. Sự phá vỡ nổi bật là thực sự đáng tin cậy, đầu tiên là sự phá vỡ, và một lần nữa khi một vài khách hàng đã tự hủy hoại sau đó.
Vụ hack Ashley Madison
là một trong những điều gây xúc động nhất trong Have I Been Pwned, và cuối cùng đã thay đổi cách Hunt tiến tới việc thâm nhập thông tin ảnh hưởng đến khuynh hướng tình dục của các cá nhân và thông tin cá nhân khác. (Ảnh AP / Lee Jin-man, Tệp)
Chase tách khỏi phương pháp luận tiêu chuẩn của mình, ý thức sâu sắc về nhận thức của nó. Sự phá vỡ chắc chắn là duy nhất. Anh ta kể lại lời kể của một cá nhân đã cho anh ta biết làm thế nào mà nhà thờ lân cận của họ đăng một bản tóm tắt tên của tất cả mọi người trong thị trấn, những người đã bị phá vỡ thông tin.
“Rõ ràng đó là dự đoán một phán quyết đạo đức,” anh bày tỏ, ám chỉ đến sự đổ vỡ. “Tôi không cần Have I Been Pwned để trao quyền cho điều đó.”
Không hề giống như những cuộc chia tay ít tế nhị trước đó, Hunt kết luận rằng anh ta sẽ không cho phép bất kỳ ai tìm kiếm thông tin. Tất cả mọi thứ đều bình đẳng, anh ấy lý do đã xây dựng một thành phần khác cho phép những khách hàng đã kiểm tra vị trí email của họ để kiểm tra xem liệu họ có đang ở trong thời gian nghỉ ngơi mỏng manh hay không.
Hunt nói: “Những lý do khiến các cá nhân rơi vào tình trạng phá vỡ thông tin đó mang nhiều sắc thái hơn so với quá trình suy nghĩ của bất kỳ ai. Một khách hàng đã cho anh ta biết anh ta đã ở đó sau một cuộc chia ly khó khăn và kể từ khi tái hôn tuy nhiên sau đó bị đặt tên là một kẻ tồi tệ. Một người khác nói rằng cô đã lập kỷ lục để có được một nửa tốt hơn của mình, liên quan đến gian lận, trong cuộc biểu tình.
“Một nơi rộng lớn có thể truy cập tự do đại diện cho một canh bạc kỳ lạ đối với các cá nhân, và tôi quyết định về điều đó,” ông nói.
Sự chia tay của Ashely Madison đã xây dựng quan điểm của ông về việc giữ lại ít thông tin nhất có thể thực sự được mong đợi. Theo thói quen, Chase xử lý các tin nhắn từ những người thương vong khi yêu cầu thông tin của họ, nhưng anh ta từ chối mà không thất bại.
Hunt cho biết: “Nó thực sự không bao giờ có thể đáp ứng nhu cầu của tôi về việc xếp chồng thông tin cá nhân vào Have I Been all Pwned và cho phép các cá nhân xem số điện thoại, giới tính của họ hoặc bất cứ điều gì được tiết lộ trong các đợt công bố thông tin khác nhau”.
“Nếu Have I Been Pwned bị pwned, đó chỉ đơn giản là các địa chỉ email,” anh nói. “Tôi không tin rằng điều đó sẽ xảy ra, tuy nhiên, đó là một tình huống hoàn toàn khác nếu, chẳng hạn, có mật khẩu.”
Trong mọi trường hợp, những mật khẩu thừa đó không bị lãng phí. Tương tự như vậy, Chase cho phép khách hàng xem qua phần lớn hơn một tỷ mật khẩu độc lập, cho phép khách hàng xem xét để kiểm tra xem có bất kỳ mật khẩu nào của họ cũng đã đến trong Have I Been Pwned hay không.
Anh ấy gọi nó là bất kỳ ai – kể cả các tổ chức công nghệ – đều có thể truy cập vào cửa hàng Pwned Passwords. Các nhà sản xuất chương trình và giám đốc từ bí mật, như Mozilla và 1Password, đã nhiệt tình thừa nhận Mật khẩu Pwned để hỗ trợ khách hàng sử dụng khóa bí mật yếu và bị thâm nhập trước đây. Các bang phương Tây, bao gồm cả Vương quốc Anh và Úc, cũng phụ thuộc vào Have I Been Pwned để sàng lọc các chứng nhận của chính phủ đã thâm nhập, mà Hunt cũng không đưa ra gì cả.
“Đó là sự chấp thuận to lớn,” ông nói. Ông nói: “Các cơ quan lập pháp đang cố gắng hoàn thành công việc để bảo vệ các quốc gia và con người – làm việc dưới sự ép buộc quá mức và họ không được bồi thường nhiều”.
“Đã có những cơ quan hành chính tương đương mọc lên. Họ được thúc đẩy bởi doanh thu – và họ đã bị truy tố.”
Troy Hunt
Chase nhận thấy rằng Have I Been Pwned, dù tính dễ tiếp thu và sự thẳng thắn là trung tâm của hoạt động của nó, nhưng lại sống trong tình trạng lấp lửng trên nền tảng web, trong đó một số điều kiện khác – đặc biệt là trong nỗ lực kinh doanh – anh ta sẽ bị nghẹt thở trong các trở ngại hành chính và hình thức. Và hãy nhớ rằng các tổ chức mà thông tin Hunt tải vào tập dữ liệu của anh ấy rất có thể sẽ nghiêng về phía nào trong mọi trường hợp, Hunt cho tôi biết anh ấy chưa bao giờ gặp nguy hiểm hợp pháp khi thực hiện hỗ trợ.
“Tôi có thể muốn tin rằng Have I Been Pwned đang ở khía cạnh chân thực của sự việc,” anh nói.
Những người khác đã cố gắng lặp lại tiến trình của Have I Been Pwned đã không may mắn như vậy.
Ông Hunt nói: “Đã có những chính quyền tương đương đã mọc lên. “Họ đã được thúc đẩy doanh thu – và họ đã được sắp xếp,” ông nói.
Trong một thời gian, LeakedSource là một trong những nhà cung cấp thông tin vi phạm lớn nhất trên web. Tôi biết, thực tế là chi tiết của tôi đã phá vỡ một phần lợi ích lớn nhất của họ: tính năng dựa trên web âm nhạc Last.fm, trang web hẹn hò dành cho người lớn AdultFriendFinder và web goliath Rambler.ru của Nga để đưa ra một số ví dụ. Tuy nhiên, điều thu hút sự chú ý của các chuyên gia chính phủ là LeakedSource, người mà quản trị viên của họ sau đó đã thú nhận về các cáo buộc liên quan đến việc xử lý dữ liệu gian lận, đã đề nghị thừa nhận bất kỳ thông tin vi phạm nào của người khác một cách khó lường.
“Có một trường hợp cực kỳ xác thực được thực hiện để giúp đỡ để giúp các cá nhân thừa nhận thông tin của họ với một cái giá phải trả.”
Chase cho biết anh sẽ “nghỉ ngơi hoàn toàn ổn” khi tính phí khách hàng một khoản chi phí để có được thông tin của họ. “Tôi chỉ không muốn chịu trách nhiệm cho nó nếu nó trở nên tồi tệ,” anh nói.
Dự án
Svalbard
Năm năm kể từ khi Tôi Được Pwned, Hunt có thể cảm thấy sự kiệt sức đang đến.
“Tôi có thể biết mình sẽ ở đâu trong trường hợp tôi không thay đổi điều gì đó,” anh ấy nói với tôi. “Nó thực sự cảm thấy như đối với khả năng quản lý của nhiệm vụ, một cái gì đó cần phải thay đổi.”
Anh ấy nói rằng anh ấy đã đầu tư một phần nhỏ sức lực của mình cho việc thực hiện đến hơn và hơn một nửa. Bên cạnh việc xáo trộn công việc hàng ngày – thu thập, sắp xếp, loại bỏ trùng lặp và chuyển kho dữ liệu khổng lồ về thông tin thâm nhập – Hunt còn có thể trả lời được cho toàn bộ hoạt động bảo trì trung tâm hành chính của trang web – tính phí và gánh nặng – trên chính bản thân anh ấy.
Sự sắp xếp để bán Have I Been Pwned có tên mã là Project Svalbard, được đặt tên theo hầm chứa hạt giống của Na Uy mà Hunt so sánh với Have I Been Pwned, một nguồn dự trữ khổng lồ về “thứ gì đó có ý nghĩa để cải thiện loài người,”