Los 10 años de historia de "Have I Been Pwned"
(troyhunt.com)- Have I Been Pwned (HIBP), lanzado por Troy Hunt el 4 de diciembre de 2013, comenzó como un proyecto personal para verificar filtraciones por correo electrónico y, 10 años después, se convirtió en una infraestructura de seguridad de la que dependen personas, empresas y gobiernos
- Aunque fue una elección marcada por lo difícil que era conseguir un dominio
.comcomún y porque no parecía un proyecto que fuera a durar mucho, la palabra pwned ahora está fuertemente asociada con HIBP - Con exposición en medios, testimonio ante el Congreso de EE. UU., colaboración con organismos de seguridad como el FBI y la NCA del Reino Unido, y el lanzamiento de Pwned Passwords, el papel de HIBP fue más allá de ser un simple sitio de búsqueda
- Project Svalbard, el proyecto de 2019 para evaluar su venta, avanzó en medio del estrés personal y del problema de que el servicio dependía demasiado de una sola persona, pero no prosperó, y Hunt reafirmó que la independencia es importante para él
- Es probable que las filtraciones sigan aumentando, y HIBP se moverá hacia una operación más formalizada, pero Hunt quiere evitar que crezca hasta convertirse en una gran organización con cargas que no desea
De un proyecto pequeño a una infraestructura de 10 años
- El 4 de diciembre de 2013, Troy Hunt lanzó el servicio con un tuit anunciando que “Have I Been Pwned?” ya estaba funcionando
- Al día siguiente publicó en su blog cómo logró buscar rápidamente entre 154 millones de registros, y los artículos con la etiqueta HIBP suman 185 hasta la publicación del décimo aniversario
- La retrospectiva de los 10 años aborda cómo se construyó el servicio, las decisiones operativas, varios incidentes de seguridad y algunas experiencias de las que no había hablado públicamente hasta ahora
¿Por qué “Pwned”?
- La elección del nombre estuvo influida por la dificultad de conseguir un dominio
.comcon un nombre inglés común, además de que no había muchas expectativas de que el proyecto durara tanto - Con el tiempo, “pwned” pasó a estar casi asociado como sinónimo de HIBP, y para muchas personas fue la primera vez que vieron esa palabra en el contexto de “Have I Been...”
- Incluso en materiales que explican el significado de “pwned” en internet aparece HIBP, creado por Hunt en 2013, como ejemplo
- Como el nombre suele pronunciarse mal o escribirse con errores, Hunt terminó registrando varios dominios alternativos
haveibeenpaened.comhaveibeenpwnded.comhaveibeenporned.comhaveibeenprawned.comhaveibeenburned.comhaveigotpwned.comhaveibeenrekt.comhaveibeenfucked.com
Exposición en medios y choque de tráfico
- HIBP suele mencionarse como “el lugar para comprobar si fuiste afectado” cada vez que una filtración de datos se vuelve noticia principal
- La cobertura mediática aumentó su visibilidad, pero también generó picos de tráfico lo bastante grandes como para sacar el servicio de línea después de una emisión del Martin Lewis Money Show del Reino Unido en 2016
- Hunt dice que esa experiencia le dejó lecciones sobre cómo manejar grandes aumentos de tráfico, y tomó medidas para que no volviera a pasar
- En 2018, Gizmodo incluyó a HIBP entre los “100 sitios web que dieron forma a internet”, junto con Wikipedia, Google y Amazon
- En 2014, TIME eligió a HIBP como uno de los 50 mejores sitios web del año
- HIBP también apareció en medios importantes como The Wall Street Journal, The Standard, USA Today, Toronto Star, De Telegraaf, VG, Le Monde y Corriere della Sera
Testimonio ante el Congreso de EE. UU.
- Hace unos 6 años, Hunt testificó ante el Congreso de Estados Unidos sobre el impacto de las filtraciones de datos en la verificación de identidad
- Como fue una audiencia pública, quedó registro en este video del testimonio
- Responder las preguntas de los legisladores sigue siendo uno de los momentos más memorables de su carrera
- Una foto de ese día hoy cuelga en la pared fuera de su oficina, recordándole constantemente hasta dónde llevó HIBP ese recorrido
Project Svalbard y la venta frustrada
- En junio de 2019, Hunt hizo pública la posibilidad de vender HIBP bajo el nombre de Project Svalbard
- Una de las principales razones detrás de esa decisión fue el estrés, y más de un año después reveló que una causa importante de ese estrés era su divorcio
- Los problemas en su relación generaban mucha presión, y Hunt pensó que vender un proyecto que amaba, pero que exigía cada vez más, podía ser una salida
- Project Svalbard terminó derivando en una disputa legal con su exesposa, ya que el valor que probablemente habría alcanzado la venta pasó a formar parte del conflicto
- Mientras hablaba con varias empresas tecnológicas de San Francisco sobre una posible adquisición, un potencial nuevo jefe le preguntó cómo sería “un día perfecto en la oficina”, y eso le hizo darse cuenta de lo importante que era su independencia
- Seis meses después, Project Svalbard terminó cuando una operación ya acordada se cayó
- No puede contar los detalles exactos por un NDA, y la expresión pública que usó fue “cambios en el entorno de negocio del comprador”
- Mirando hacia atrás, Hunt siente que perdió mucho, pero se alegra muchísimo del resultado
FBI, NCA y colaboración con las fuerzas del orden
- Para el Hunt de hace 10 años, era impensable que el FBI terminara públicamente vinculado con HIBP
- El FBI aporta datos a HIBP, y también lo hacen la NCA del Reino Unido y varios otros organismos de seguridad de todo el mundo
- Varios gobiernos nacionales también hablan públicamente de su uso de HIBP
- En septiembre de 2023, ABC describió el papel de HIBP y de Hunt como “una señal extraña de los tiempos”, al considerar que “una sola persona en la web” había terminado ocupando un rol curiosamente central en la ciberseguridad global
- El objetivo de HIBP es “hacer algo bueno después de que ocurra algo malo”, lo que conecta con el propósito de las fuerzas del orden de proteger a las personas
- Hunt dice que hace 10 años no entendía que las agencias de seguridad suelen trabajar con empresas privadas para proteger a la gente, pero ahora mantiene relaciones productivas con personas de varias instituciones
El crecimiento de Pwned Passwords
- En un principio HIBP no estaba pensado para incluir contraseñas, porque Hunt creía que debía evitarse cualquier situación en la que una contraseña apareciera junto a un nombre de usuario
- Sin embargo, llegó a la conclusión de que una lista de contraseñas filtradas separada de la información personal podía ser una forma de aprovechar datos comprometidos con un fin positivo
- En 2017 se lanzó Pwned Passwords
- En septiembre de 2023, Pwned Passwords registró 282 millones de solicitudes en un solo día, y superó los 6 mil millones de solicitudes acumuladas en 30 días
- Según las estadísticas más recientes al momento de la retrospectiva, durante una semana procesó 301,6 millones de solicitudes por día, y el 100.0000000000% de esas solicitudes fue atendido desde la caché de Cloudflare
- El servicio es gratuito, no requiere autenticación, tanto el código como los datos son open source, y el FBI aporta datos
- Hunt cree que una parte importante de las cuentas comprometidas en ataques masivos de credential stuffing contra servicios en línea usan contraseñas que se podrían haber bloqueado
La paradoja de procesar datos de filtraciones
- HIBP encierra una paradoja: maneja datos filtrados que son producto de delitos y, al mismo tiempo, busca cumplir una función de interés público
- Algunas personas dicen que van a denunciar a Hunt ante el FBI por poseer datos robados, pero él ya colabora con el FBI
- También ha habido críticas basadas en leyes de protección de datos, especialmente en la UE y el GDPR, por “procesar datos sin consentimiento”
- Hunt responde que nadie da su consentimiento para terminar en una filtración, y que el incidente de seguridad y el trabajo de HIBP de indexar esos datos para permitir su búsqueda son debates distintos
- En 10 años, las quejas fueron relativamente pocas, al punto de que los casos anuales se pueden contar con una mano
- Solo hubo una queja formal presentada a través de una autoridad gubernamental de protección de datos en 10 años, y se cerró después de que Hunt respondiera unas preguntas
Personas y estructura operativa
- Al principio, HIBP era un proyecto hobby al que Hunt dedicaba su tiempo por cuenta propia
- El trabajo inicial incluía construir el servicio, conseguir datos de filtraciones, verificarlos, publicarlos, redactar explicaciones y editar personalmente más de 700 logos
- Ahora que se volvió una parte importante de internet de la que dependen muchas personas, empresas y gobiernos, el problema de depender de una sola persona se volvió más serio
- Esa estructura dependiente únicamente de Hunt también fue parte del contexto detrás del intento de venta en 2019
- Una opción habría sido contratar gente y hacer crecer el proyecto como una empresa normal, pero a Hunt no le atraen responsabilidades como contratos laborales, negociación salarial, evaluación de desempeño, licencias médicas y vacaciones
-
El papel de Charlotte
- A principios de 2021, Charlotte, que entonces estaba por convertirse en su esposa, comenzó a trabajar en HIBP
- Charlotte había trabajado durante 8 años como project manager de la conferencia NDC, con base en Noruega, tratando con desarrolladores de software, ponentes, asistentes, patrocinadores y asistentes corporativos
- No se encargaba del aspecto técnico, pero tenía formación en relaciones públicas y emprendimiento, y ya estaba familiarizada con el mundo tecnológico en el que se mueve HIBP
- Charlotte se ocupa del onboarding de suscriptores corporativos, los tickets de soporte para API y suscriptores de dominios, además de contabilidad e impuestos
-
El papel de Stefán Jökull Sigurðarson
- A principios de 2023, Stefán Jökull Sigurðarson se sumó part-time para encargarse de varias tareas de desarrollo, como escribir código, limpiar componentes y hacer migraciones
- Stefán sigue el servicio desde el lanzamiento de HIBP y, a principios de 2018 en EVE, desarrolló una de las primeras grandes integraciones de la API PwnedPasswords v2
- Él considera que HIBP ha sido parte de su carrera como conferencista público, de sus contribuciones open source, de su rol como MVP y de su recorrido aportando a un internet más seguro
- Para Hunt, es importante que para Stefán HIBP no sea solo un trabajo, sino una pasión
Filtraciones memorables
- En 10 años, las filtraciones incluidas en HIBP suman 731
-
Ashley Madison
- El incidente de 2015 tuvo un gran impacto en el uso de HIBP y también dejó una huella profunda en los intercambios que Hunt tuvo con las víctimas
- Lo que los miembros de Ashley Madison le dijeron a Hunt sigue siendo, hasta hoy, un texto difícil de leer
-
Collection #1
- A comienzos de 2019 elevó mucho el estrés de Hunt y tuvo una influencia importante en su decisión de considerar la venta del servicio
- Con 773 millones de registros, sigue siendo la mayor filtración en HIBP al momento de la retrospectiva
-
Rosebutt
- Fue un caso que mostró que incluso una filtración grave de datos a veces puede producir momentos absurdos
-
Shit Express
- Fue el caso de un sitio que enviaba fragmentos de excremento de forma anónima y cuya filtración dejó en evidencia lo frágil de esa anonimidad
- Después de eso, Hunt escribió sobre cómo las afirmaciones de anonimato suelen ser muy engañosas
Hacia dónde va ahora
- La rutina diaria de Hunt se parece a revisar por la mañana el correo y los eventos ocurridos durante la noche, y luego moverse según lo que ese día exija
- Esa forma de operar está ligada a por qué no quiere que HIBP crezca hasta convertirse en una organización con responsabilidades mucho mayores
- Al mismo tiempo, HIBP se está volviendo gradualmente más formalizado
- Hace 3 años, Hunt hacía personalmente el 100% de todo
- Hace 1 año, hacía por sí solo todo el trabajo técnico
- Hace 6 meses, no existía un sistema de tickets de soporte
- Hunt quiere que HIBP sobreviva más allá de él, pero no quiere que en ese proceso se convierta en una carga que lo ate
- Cree que seguirán ocurriendo más filtraciones y que, últimamente, siente que el ransomware está creciendo con rapidez
- También queda la duda de si las personas cuyos correos, documentos y otros datos se publican en ataques de ransomware realmente llegan a enterarse de que quedaron expuestas
- Indexar ese tipo de datos no es algo simple por varias razones, pero cada vez le parece un trabajo más valioso
1 comentarios
Opiniones de Hacker News
Troy Hunt es una persona realmente valiosa, y si desarrollas aplicaciones web no tienes excusa para no implementar defensas contra credential stuffing.
Probablemente lo mejor sea la autenticación de dos factores[1], pero comparar contra la base de datos de contraseñas hasheadas de Hunt también es una defensa bastante buena sin imponer carga adicional a los usuarios.
No tengo datos que lo respalden, pero creo que la enorme mayoría de las cuentas comprometidas viene del credential stuffing o de la reutilización de contraseñas. Me sorprende escuchar que grandes empresas no hacen este tipo de verificación, y además configurarlo es sencillo; se puede hacer en más o menos un día.
Si eres un CTO joven o un ingeniero de una webapp en etapa temprana, algún día podrías recibir una avalancha de llamadas a la 1 de la mañana, ver que el sitio está siendo golpeado, pensar al principio que es un DDoS y luego darte cuenta de que la mayor parte del tráfico va a la página de login, y que una parte de esos intentos realmente logra iniciar sesión. Da escalofríos. Después toca responder toda la noche y también enviar notificaciones de brecha, lo cual es realmente horrible.
La base de datos gratuita de Troy Hunt probablemente reduzca ese sufrimiento, así que conviene simplemente hacerlo.
Un empleado se indignó porque consideró esa acción una invasión de la privacidad, y no recuerdo quién inició las acciones legales, pero la conclusión del empleado del FBI y del juez fue que, aunque el administrador de sistemas tuviera la intención de mejorar la seguridad, el solo hecho de acceder a los hashes de contraseñas bajo su responsabilidad constituía una invasión criminal de la privacidad.
Si ese empleado del FBI no se lo inventó, parece prudente pasar por una revisión del equipo legal antes de verificar si los hashes de contraseñas de empleados aparecen en haveibeenpwned.
Por ejemplo, si en el último minuto hubo 20 intentos fallidos de inicio de sesión desde la misma IP o para el mismo usuario, se bloquea esa IP o ese usuario durante 15 minutos. Muchos API gateways e ingresos de K8s lo soportan muy fácilmente, y si no, se puede agregar con unas pocas líneas de código guardando en algo como Redis el conteo de intentos recientes de login.
Comparar contra la base de datos de HIBP también es una buena opción, pero para frenar este ataque el rate limiting es mucho más efectivo.
Por ejemplo, aunque Tumblr haya sido hackeado y se haya filtrado mi contraseña
hunter2, si Tumblr usaba un HMAC-MD5 simple con sal y mi sitio obviamente usa argon2 con otra sal, el hash resultante será distinto aunque la contraseña sea la misma. No veo cómo esto ayuda a prevenir el credential stuffing.Conviene configurar OAuth social, SSO o emails con magic link y pasarle el problema a otro.
1234como contraseña.Si no es un sitio dirigido a personas vulnerables, lo considero responsabilidad del usuario. Como dice otro comentario, ese tipo de usuario probablemente resolverá el error de la manera más fácil posible, como
1234nombredelsitio.Creo que cualquier restricción que agregues al campo de contraseña reduce la entropía y, aunque sea de forma mínima, disminuye la seguridad de todos.
Recuerdo que este sitio antes ofrecía una experiencia excelente, pero ahora se siente como una forma de hacer dinero en la que tienes que pagar US$169.50 al año para ver 100 cuentas filtradas.
Uso una dirección de email única para cada sitio web para detectar filtraciones de datos, pero cuando intenté buscar resultados de un dominio cuya propiedad ya había verificado antes, me apareció el error: “para buscar dominios con más de 10 cuentas filtradas se requiere una suscripción de tamaño suficiente”.
Lo peor es que Troy incluso incluye colecciones de datos públicos como “filtraciones”, inflando artificialmente la cuota de cantidad de cuentas. Por ejemplo, cuando se filtró una colección de contactos públicos recopilados desde GitHub, también la contó como filtración, aunque mi dirección de email estaba publicada explícitamente.
Por un servicio de bajo costo como este estaría dispuesto a pagar entre 5 y 12 dólares al año, pero el precio actual es absurdo.
La desventaja es que tienes que gestionar la base de datos tú mismo y actualizarla con frecuencia. He visto surgir bastantes servicios de este tipo que cobran por vender acceso a bases de datos vía API.
Decir que ese caso de uso tan específico es una vaca lechera para Troy Hunt parece exagerado.
No recuerdo haber visto ningún aviso sobre este cambio.
Empieza como un buen servicio, pero cuando crece el uso, ponen funciones detrás de un muro de pago y reducen el servicio gratuito hasta volverlo prácticamente inútil: un pésimo modelo freemium. Facebook será malo, pero no llegó a este punto; “Facebook gratis” solo tiene más rastreo, pero en cuanto a funciones se mantiene como en 2010.
Variantes como
haveibeenburned.com,haveigotpwned.com,haveibeenrekt.comyhaveibeenfucked.com, que alguien propuso después de que se supiera que PornHub lo seguía, son bastante graciosas como efecto secundario de la fama mediáticaEn cambio, quizá sería posible crear una base de datos de hashes de reconocimiento facial de porno de venganza y subir un hash similar de tu propia cara para verificar si aparece en algún lugar en línea
Era un nivel de incomodidad que nunca habría imaginado
Me encantan los textos informativos de Hunt
Recuerdo haber leído cómo usaba k-anonimato para comparar contraseñas contra archivos pwned sin enviar información personal real, y gracias a eso estudié el concepto y luego terminé usándolo también en proyectos de trabajo
A veces pienso qué habría hecho si no hubiera leído esos artículos sobre cómo verificar sin enviar información personal real
También quiero mencionar a Junade Ali, a quien Troy cita como quien se lo propuso[1]. Él lo explica con más detalle en un artículo relacionado[2]
No quiero decir que Junade lo haya inventado; originalmente parece atribuirse a Pierangela Samarati, Latanya Sweeney y Tore Dalenius[3], pero su entrada de blog lo explica muy bien en términos familiares para desarrolladores de software
[1] https://www.troyhunt.com/ive-just-launched-pwned-passwords-v...
[2] https://blog.cloudflare.com/validating-leaked-passwords-with...
[3] https://en.wikipedia.org/wiki/K-anonymity
Los estafadores de extorsión están usando bases de datos de contraseñas pwned para crear correos de phishing bastante verosímiles
Algo como: “Instalé una herramienta de acceso remoto en tu sistema y te vi por la webcam. La prueba del hackeo es esta contraseña. Envía USD 1800 en BTC a esta dirección y no acudas a la policía. La próxima vez usa un gestor de contraseñas”. Me pregunto si alguien realmente cae en estas estafas
Supongo que la mayoría queda bloqueada por filtros de spam, y solo los vi cuando pasaron los filtros SPF/DKIM, así que los usé para entrenamiento adicional. Parecen bastante ingeniosos
El servicio en sí se agradece, y también disfruto leer los artículos de Troy Hunt. HIBP es excelente
No incluía una contraseña vieja, sino la dirección postal completa y los últimos 4 dígitos de la tarjeta de crédito, y hay gente que de verdad lo cree
Esa funcionalidad por sí sola no permite ese tipo de ataque
Yo también recibí uno o dos correos de esos, y no tenía ni idea de en qué sitio había usado esa contraseña bastante débil
Busqué rápido y vi que no era una contraseña que usara en ningún lugar importante para mí, así que lo dejé pasar, pero aun sabiendo que era una contraseña vieja, seguía sintiéndose inquietante
Si no hubiera usado un gestor de contraseñas, no habría podido verificar de inmediato dónde se había usado esa contraseña y habría tenido que exprimirme la memoria; cuesta imaginar esa sensación
El impacto de HaveIBeenPwned en la concientización de los usuarios es notable
En cambio, siento que SpyCloud no recibe suficiente reconocimiento, pese a tener un conjunto de datos 30 veces más grande y trabajar directamente con empresas para mitigar de verdad la reutilización de contraseñas
Si alguna vez te pidieron restablecer tu contraseña al iniciar sesión en un sitio web grande, o recibiste un correo pidiéndote cambiarla porque era una contraseña usada en varios lugares, es muy probable que SpyCloud estuviera detrás
En realidad sí lo hace. Por ejemplo, hay colaboraciones con 1Password y otros gestores de contraseñas, Firefox, el FBI y los gobiernos del Reino Unido y Australia
Esta última no es útil en absoluto para la mayoría de la gente
Si te preocupa la privacidad, aquí está cómo eliminar tu información de las búsquedas públicas
https://haveibeenpwned.com/OptOut
Quien quiera hacer algo malo con correos probablemente descargue las listas originales completas antes que scrapear un sitio agregador
Como referencia, dice que “el administrador del dominio al que pertenece la dirección de correo electrónico aún podrá verte en la búsqueda de dominio”
Me pregunto cuántas víctimas de acoso, durante los últimos 10 años, se habrán enterado de que sus agresores usaron HaveIBeenPwned como una herramienta sencilla de guía para encontrar y vulnerar sus cuentas y su vida privada.
Claro, la postura del sitio es que la víctima debe registrarse antes de que un actor malicioso use el servicio y desactivar la exposición en las búsquedas.
En otras palabras, causarles a otros usuarios el impacto de “¡tu información está ahí afuera!” apenas ingresan una dirección es más importante que la seguridad de los usuarios, en vez de mostrarlo después de verificar el correo.
Si alguien ya tiene la dirección de correo de una persona, ¿realmente necesita HIBP para averiguar dónde se usó esa dirección? ¿No salen ya muchos resultados solo con Google?
Me gustaría ver el hash para poder averiguar qué contraseña fue comprometida.
Eso de “andar en jet ski y hacer lo que se me dé la gana”: ¿Troy Hunt es una variante de Mobius?
Me pregunto si ha escrito mucho sobre los detalles del divorcio.
¿Se puede entender que se alargó y salió caro por el proceso de dividir el 50% de los activos y determinar quién es dueño de qué?