1 puntos por GN⁺ 2023-12-05 | 1 comentarios | Compartir por WhatsApp
  • Have I Been Pwned (HIBP), lanzado por Troy Hunt el 4 de diciembre de 2013, comenzó como un proyecto personal para verificar filtraciones por correo electrónico y, 10 años después, se convirtió en una infraestructura de seguridad de la que dependen personas, empresas y gobiernos
  • Aunque fue una elección marcada por lo difícil que era conseguir un dominio .com común y porque no parecía un proyecto que fuera a durar mucho, la palabra pwned ahora está fuertemente asociada con HIBP
  • Con exposición en medios, testimonio ante el Congreso de EE. UU., colaboración con organismos de seguridad como el FBI y la NCA del Reino Unido, y el lanzamiento de Pwned Passwords, el papel de HIBP fue más allá de ser un simple sitio de búsqueda
  • Project Svalbard, el proyecto de 2019 para evaluar su venta, avanzó en medio del estrés personal y del problema de que el servicio dependía demasiado de una sola persona, pero no prosperó, y Hunt reafirmó que la independencia es importante para él
  • Es probable que las filtraciones sigan aumentando, y HIBP se moverá hacia una operación más formalizada, pero Hunt quiere evitar que crezca hasta convertirse en una gran organización con cargas que no desea

De un proyecto pequeño a una infraestructura de 10 años

  • El 4 de diciembre de 2013, Troy Hunt lanzó el servicio con un tuit anunciando que “Have I Been Pwned?” ya estaba funcionando
  • Al día siguiente publicó en su blog cómo logró buscar rápidamente entre 154 millones de registros, y los artículos con la etiqueta HIBP suman 185 hasta la publicación del décimo aniversario
  • La retrospectiva de los 10 años aborda cómo se construyó el servicio, las decisiones operativas, varios incidentes de seguridad y algunas experiencias de las que no había hablado públicamente hasta ahora

¿Por qué “Pwned”?

  • La elección del nombre estuvo influida por la dificultad de conseguir un dominio .com con un nombre inglés común, además de que no había muchas expectativas de que el proyecto durara tanto
  • Con el tiempo, “pwned” pasó a estar casi asociado como sinónimo de HIBP, y para muchas personas fue la primera vez que vieron esa palabra en el contexto de “Have I Been...”
  • Incluso en materiales que explican el significado de “pwned” en internet aparece HIBP, creado por Hunt en 2013, como ejemplo
  • Como el nombre suele pronunciarse mal o escribirse con errores, Hunt terminó registrando varios dominios alternativos
    • haveibeenpaened.com
    • haveibeenpwnded.com
    • haveibeenporned.com
    • haveibeenprawned.com
    • haveibeenburned.com
    • haveigotpwned.com
    • haveibeenrekt.com
    • haveibeenfucked.com

Exposición en medios y choque de tráfico

  • HIBP suele mencionarse como “el lugar para comprobar si fuiste afectado” cada vez que una filtración de datos se vuelve noticia principal
  • La cobertura mediática aumentó su visibilidad, pero también generó picos de tráfico lo bastante grandes como para sacar el servicio de línea después de una emisión del Martin Lewis Money Show del Reino Unido en 2016
    • Hunt dice que esa experiencia le dejó lecciones sobre cómo manejar grandes aumentos de tráfico, y tomó medidas para que no volviera a pasar
  • En 2018, Gizmodo incluyó a HIBP entre los “100 sitios web que dieron forma a internet”, junto con Wikipedia, Google y Amazon
  • En 2014, TIME eligió a HIBP como uno de los 50 mejores sitios web del año
  • HIBP también apareció en medios importantes como The Wall Street Journal, The Standard, USA Today, Toronto Star, De Telegraaf, VG, Le Monde y Corriere della Sera

Testimonio ante el Congreso de EE. UU.

  • Hace unos 6 años, Hunt testificó ante el Congreso de Estados Unidos sobre el impacto de las filtraciones de datos en la verificación de identidad
  • Como fue una audiencia pública, quedó registro en este video del testimonio
  • Responder las preguntas de los legisladores sigue siendo uno de los momentos más memorables de su carrera
  • Una foto de ese día hoy cuelga en la pared fuera de su oficina, recordándole constantemente hasta dónde llevó HIBP ese recorrido

Project Svalbard y la venta frustrada

  • En junio de 2019, Hunt hizo pública la posibilidad de vender HIBP bajo el nombre de Project Svalbard
  • Una de las principales razones detrás de esa decisión fue el estrés, y más de un año después reveló que una causa importante de ese estrés era su divorcio
  • Los problemas en su relación generaban mucha presión, y Hunt pensó que vender un proyecto que amaba, pero que exigía cada vez más, podía ser una salida
  • Project Svalbard terminó derivando en una disputa legal con su exesposa, ya que el valor que probablemente habría alcanzado la venta pasó a formar parte del conflicto
  • Mientras hablaba con varias empresas tecnológicas de San Francisco sobre una posible adquisición, un potencial nuevo jefe le preguntó cómo sería “un día perfecto en la oficina”, y eso le hizo darse cuenta de lo importante que era su independencia
  • Seis meses después, Project Svalbard terminó cuando una operación ya acordada se cayó
    • No puede contar los detalles exactos por un NDA, y la expresión pública que usó fue “cambios en el entorno de negocio del comprador”
    • Mirando hacia atrás, Hunt siente que perdió mucho, pero se alegra muchísimo del resultado

FBI, NCA y colaboración con las fuerzas del orden

  • Para el Hunt de hace 10 años, era impensable que el FBI terminara públicamente vinculado con HIBP
  • El FBI aporta datos a HIBP, y también lo hacen la NCA del Reino Unido y varios otros organismos de seguridad de todo el mundo
  • Varios gobiernos nacionales también hablan públicamente de su uso de HIBP
  • En septiembre de 2023, ABC describió el papel de HIBP y de Hunt como “una señal extraña de los tiempos”, al considerar que “una sola persona en la web” había terminado ocupando un rol curiosamente central en la ciberseguridad global
  • El objetivo de HIBP es “hacer algo bueno después de que ocurra algo malo”, lo que conecta con el propósito de las fuerzas del orden de proteger a las personas
  • Hunt dice que hace 10 años no entendía que las agencias de seguridad suelen trabajar con empresas privadas para proteger a la gente, pero ahora mantiene relaciones productivas con personas de varias instituciones

El crecimiento de Pwned Passwords

  • En un principio HIBP no estaba pensado para incluir contraseñas, porque Hunt creía que debía evitarse cualquier situación en la que una contraseña apareciera junto a un nombre de usuario
  • Sin embargo, llegó a la conclusión de que una lista de contraseñas filtradas separada de la información personal podía ser una forma de aprovechar datos comprometidos con un fin positivo
  • En 2017 se lanzó Pwned Passwords
  • En septiembre de 2023, Pwned Passwords registró 282 millones de solicitudes en un solo día, y superó los 6 mil millones de solicitudes acumuladas en 30 días
  • Según las estadísticas más recientes al momento de la retrospectiva, durante una semana procesó 301,6 millones de solicitudes por día, y el 100.0000000000% de esas solicitudes fue atendido desde la caché de Cloudflare
  • El servicio es gratuito, no requiere autenticación, tanto el código como los datos son open source, y el FBI aporta datos
  • Hunt cree que una parte importante de las cuentas comprometidas en ataques masivos de credential stuffing contra servicios en línea usan contraseñas que se podrían haber bloqueado

La paradoja de procesar datos de filtraciones

  • HIBP encierra una paradoja: maneja datos filtrados que son producto de delitos y, al mismo tiempo, busca cumplir una función de interés público
  • Algunas personas dicen que van a denunciar a Hunt ante el FBI por poseer datos robados, pero él ya colabora con el FBI
  • También ha habido críticas basadas en leyes de protección de datos, especialmente en la UE y el GDPR, por “procesar datos sin consentimiento”
  • Hunt responde que nadie da su consentimiento para terminar en una filtración, y que el incidente de seguridad y el trabajo de HIBP de indexar esos datos para permitir su búsqueda son debates distintos
  • En 10 años, las quejas fueron relativamente pocas, al punto de que los casos anuales se pueden contar con una mano
  • Solo hubo una queja formal presentada a través de una autoridad gubernamental de protección de datos en 10 años, y se cerró después de que Hunt respondiera unas preguntas

Personas y estructura operativa

  • Al principio, HIBP era un proyecto hobby al que Hunt dedicaba su tiempo por cuenta propia
  • El trabajo inicial incluía construir el servicio, conseguir datos de filtraciones, verificarlos, publicarlos, redactar explicaciones y editar personalmente más de 700 logos
  • Ahora que se volvió una parte importante de internet de la que dependen muchas personas, empresas y gobiernos, el problema de depender de una sola persona se volvió más serio
  • Esa estructura dependiente únicamente de Hunt también fue parte del contexto detrás del intento de venta en 2019
  • Una opción habría sido contratar gente y hacer crecer el proyecto como una empresa normal, pero a Hunt no le atraen responsabilidades como contratos laborales, negociación salarial, evaluación de desempeño, licencias médicas y vacaciones
  • El papel de Charlotte

    • A principios de 2021, Charlotte, que entonces estaba por convertirse en su esposa, comenzó a trabajar en HIBP
    • Charlotte había trabajado durante 8 años como project manager de la conferencia NDC, con base en Noruega, tratando con desarrolladores de software, ponentes, asistentes, patrocinadores y asistentes corporativos
    • No se encargaba del aspecto técnico, pero tenía formación en relaciones públicas y emprendimiento, y ya estaba familiarizada con el mundo tecnológico en el que se mueve HIBP
    • Charlotte se ocupa del onboarding de suscriptores corporativos, los tickets de soporte para API y suscriptores de dominios, además de contabilidad e impuestos
  • El papel de Stefán Jökull Sigurðarson

    • A principios de 2023, Stefán Jökull Sigurðarson se sumó part-time para encargarse de varias tareas de desarrollo, como escribir código, limpiar componentes y hacer migraciones
    • Stefán sigue el servicio desde el lanzamiento de HIBP y, a principios de 2018 en EVE, desarrolló una de las primeras grandes integraciones de la API PwnedPasswords v2
    • Él considera que HIBP ha sido parte de su carrera como conferencista público, de sus contribuciones open source, de su rol como MVP y de su recorrido aportando a un internet más seguro
    • Para Hunt, es importante que para Stefán HIBP no sea solo un trabajo, sino una pasión

Filtraciones memorables

  • En 10 años, las filtraciones incluidas en HIBP suman 731
  • Ashley Madison

  • Collection #1

    • A comienzos de 2019 elevó mucho el estrés de Hunt y tuvo una influencia importante en su decisión de considerar la venta del servicio
    • Con 773 millones de registros, sigue siendo la mayor filtración en HIBP al momento de la retrospectiva
  • Rosebutt

    • Fue un caso que mostró que incluso una filtración grave de datos a veces puede producir momentos absurdos
  • Shit Express

    • Fue el caso de un sitio que enviaba fragmentos de excremento de forma anónima y cuya filtración dejó en evidencia lo frágil de esa anonimidad
    • Después de eso, Hunt escribió sobre cómo las afirmaciones de anonimato suelen ser muy engañosas

Hacia dónde va ahora

  • La rutina diaria de Hunt se parece a revisar por la mañana el correo y los eventos ocurridos durante la noche, y luego moverse según lo que ese día exija
  • Esa forma de operar está ligada a por qué no quiere que HIBP crezca hasta convertirse en una organización con responsabilidades mucho mayores
  • Al mismo tiempo, HIBP se está volviendo gradualmente más formalizado
    • Hace 3 años, Hunt hacía personalmente el 100% de todo
    • Hace 1 año, hacía por sí solo todo el trabajo técnico
    • Hace 6 meses, no existía un sistema de tickets de soporte
  • Hunt quiere que HIBP sobreviva más allá de él, pero no quiere que en ese proceso se convierta en una carga que lo ate
  • Cree que seguirán ocurriendo más filtraciones y que, últimamente, siente que el ransomware está creciendo con rapidez
  • También queda la duda de si las personas cuyos correos, documentos y otros datos se publican en ataques de ransomware realmente llegan a enterarse de que quedaron expuestas
  • Indexar ese tipo de datos no es algo simple por varias razones, pero cada vez le parece un trabajo más valioso

1 comentarios

 
GN⁺ 2023-12-05
Opiniones de Hacker News
  • Troy Hunt es una persona realmente valiosa, y si desarrollas aplicaciones web no tienes excusa para no implementar defensas contra credential stuffing.
    Probablemente lo mejor sea la autenticación de dos factores[1], pero comparar contra la base de datos de contraseñas hasheadas de Hunt también es una defensa bastante buena sin imponer carga adicional a los usuarios.
    No tengo datos que lo respalden, pero creo que la enorme mayoría de las cuentas comprometidas viene del credential stuffing o de la reutilización de contraseñas. Me sorprende escuchar que grandes empresas no hacen este tipo de verificación, y además configurarlo es sencillo; se puede hacer en más o menos un día.
    Si eres un CTO joven o un ingeniero de una webapp en etapa temprana, algún día podrías recibir una avalancha de llamadas a la 1 de la mañana, ver que el sitio está siendo golpeado, pensar al principio que es un DDoS y luego darte cuenta de que la mayor parte del tráfico va a la página de login, y que una parte de esos intentos realmente logra iniciar sesión. Da escalofríos. Después toca responder toda la noche y también enviar notificaciones de brecha, lo cual es realmente horrible.
    La base de datos gratuita de Troy Hunt probablemente reduzca ese sufrimiento, así que conviene simplemente hacerlo.

    1. https://cheatsheetseries.owasp.org/cheatsheets/Credential_St...
    2. Casos como 23andMe. https://news.ycombinator.com/item?id=37794379
    • Hace unos 10 años, en un evento donde hablaba un empleado del FBI, escuché la historia de un administrador de sistemas que tomó la base de datos de contraseñas hasheadas de su empresa, la comparó contra hashes de filtraciones conocidas y envió restablecimientos forzosos y correos explicativos a los empleados que usaban contraseñas reutilizadas, y terminó arrestado.
      Un empleado se indignó porque consideró esa acción una invasión de la privacidad, y no recuerdo quién inició las acciones legales, pero la conclusión del empleado del FBI y del juez fue que, aunque el administrador de sistemas tuviera la intención de mejorar la seguridad, el solo hecho de acceder a los hashes de contraseñas bajo su responsabilidad constituía una invasión criminal de la privacidad.
      Si ese empleado del FBI no se lo inventó, parece prudente pasar por una revisión del equipo legal antes de verificar si los hashes de contraseñas de empleados aparecen en haveibeenpwned.
    • Además de la autenticación de dos factores, aplicar rate limiting al endpoint de login por dirección IP y por nombre de usuario es una defensa mucho más robusta contra este ataque.
      Por ejemplo, si en el último minuto hubo 20 intentos fallidos de inicio de sesión desde la misma IP o para el mismo usuario, se bloquea esa IP o ese usuario durante 15 minutos. Muchos API gateways e ingresos de K8s lo soportan muy fácilmente, y si no, se puede agregar con unas pocas líneas de código guardando en algo como Redis el conteo de intentos recientes de login.
      Comparar contra la base de datos de HIBP también es una buena opción, pero para frenar este ataque el rate limiting es mucho más efectivo.
    • No entiendo bien el procedimiento. Si la base de datos contiene contraseñas hasheadas, ¿cómo sé que mi sitio y esa base de datos usan la misma sal y el mismo método de hash?
      Por ejemplo, aunque Tumblr haya sido hackeado y se haya filtrado mi contraseña hunter2, si Tumblr usaba un HMAC-MD5 simple con sal y mi sitio obviamente usa argon2 con otra sal, el hash resultante será distinto aunque la contraseña sea la misma. No veo cómo esto ayuda a prevenir el credential stuffing.
    • Si estás creando un nuevo sistema de login/autenticación desde cero, es mejor no recibir contraseñas ni guardarlas en la base de datos.
      Conviene configurar OAuth social, SSO o emails con magic link y pasarle el problema a otro.
    • No veo por qué debería sentir culpa si un usuario usa 1234 como contraseña.
      Si no es un sitio dirigido a personas vulnerables, lo considero responsabilidad del usuario. Como dice otro comentario, ese tipo de usuario probablemente resolverá el error de la manera más fácil posible, como 1234nombredelsitio.
      Creo que cualquier restricción que agregues al campo de contraseña reduce la entropía y, aunque sea de forma mínima, disminuye la seguridad de todos.
  • Recuerdo que este sitio antes ofrecía una experiencia excelente, pero ahora se siente como una forma de hacer dinero en la que tienes que pagar US$169.50 al año para ver 100 cuentas filtradas.
    Uso una dirección de email única para cada sitio web para detectar filtraciones de datos, pero cuando intenté buscar resultados de un dominio cuya propiedad ya había verificado antes, me apareció el error: “para buscar dominios con más de 10 cuentas filtradas se requiere una suscripción de tamaño suficiente”.
    Lo peor es que Troy incluso incluye colecciones de datos públicos como “filtraciones”, inflando artificialmente la cuota de cantidad de cuentas. Por ejemplo, cuando se filtró una colección de contactos públicos recopilados desde GitHub, también la contó como filtración, aunque mi dirección de email estaba publicada explícitamente.
    Por un servicio de bajo costo como este estaría dispuesto a pagar entre 5 y 12 dólares al año, pero el precio actual es absurdo.

    • Me pasó lo mismo, y ojalá hubiera un plan de precios separado para gente como nosotros. Tal vez valga la pena preguntar.
    • Si descargas la base de datos desde la DarkNet y la corres localmente, no tienes que pagar.
      La desventaja es que tienes que gestionar la base de datos tú mismo y actualizarla con frecuencia. He visto surgir bastantes servicios de este tipo que cobran por vender acceso a bases de datos vía API.
    • Operar tu propio dominio de email, usar una dirección distinta para cada sitio y además escanear si hubo filtraciones de tu dominio personal es un caso de uso bastante especial.
      Decir que ese caso de uso tan específico es una vaca lechera para Troy Hunt parece exagerado.
    • Yo uso el mismo método, y me preguntaba por qué hacía mucho que no recibía alertas de filtraciones.
      No recuerdo haber visto ningún aviso sobre este cambio.
    • Otro caso más de “todo como servicio”.
      Empieza como un buen servicio, pero cuando crece el uso, ponen funciones detrás de un muro de pago y reducen el servicio gratuito hasta volverlo prácticamente inútil: un pésimo modelo freemium. Facebook será malo, pero no llegó a este punto; “Facebook gratis” solo tiene más rastreo, pero en cuanto a funciones se mantiene como en 2010.
  • Variantes como haveibeenburned.com, haveigotpwned.com, haveibeenrekt.com y haveibeenfucked.com, que alguien propuso después de que se supiera que PornHub lo seguía, son bastante graciosas como efecto secundario de la fama mediática

    • Siempre me gustó el blog de PornHub: https://www.pornhub.com/insights/
    • El último dominio podría ser interesante como repositorio de porno de venganza, pero distribuirlo es ilegal en muchas jurisdicciones
      En cambio, quizá sería posible crear una base de datos de hashes de reconocimiento facial de porno de venganza y subir un hash similar de tu propia cara para verificar si aparece en algún lugar en línea
    • Hace unos años tenía unos amigos, una pareja, en la que la esposa estaba embarazada, y de verdad les daba algo de vergüenza que “todos supieran que lo habían hecho”
      Era un nivel de incomodidad que nunca habría imaginado
    • Es prueba de que las reglas de internet funcionan. Si algo existe, hay una versión porno
  • Me encantan los textos informativos de Hunt
    Recuerdo haber leído cómo usaba k-anonimato para comparar contraseñas contra archivos pwned sin enviar información personal real, y gracias a eso estudié el concepto y luego terminé usándolo también en proyectos de trabajo
    A veces pienso qué habría hecho si no hubiera leído esos artículos sobre cómo verificar sin enviar información personal real

  • Los estafadores de extorsión están usando bases de datos de contraseñas pwned para crear correos de phishing bastante verosímiles
    Algo como: “Instalé una herramienta de acceso remoto en tu sistema y te vi por la webcam. La prueba del hackeo es esta contraseña. Envía USD 1800 en BTC a esta dirección y no acudas a la policía. La próxima vez usa un gestor de contraseñas”. Me pregunto si alguien realmente cae en estas estafas
    Supongo que la mayoría queda bloqueada por filtros de spam, y solo los vi cuando pasaron los filtros SPF/DKIM, así que los usé para entrenamiento adicional. Parecen bastante ingeniosos
    El servicio en sí se agradece, y también disfruto leer los artículos de Troy Hunt. HIBP es excelente

    • Un familiar me llamó preocupado por si ese correo era real
      No incluía una contraseña vieja, sino la dirección postal completa y los últimos 4 dígitos de la tarjeta de crédito, y hay gente que de verdad lo cree
    • La consulta de Pwned Passwords solo devuelve la cantidad de filtraciones, sin hash ni contraseña en texto plano
      Esa funcionalidad por sí sola no permite ese tipo de ataque
    • No sé si alguien cayó de verdad, pero sí he oído de usuarios que se asustan y corren a pedirle confirmación al equipo de IT
      Yo también recibí uno o dos correos de esos, y no tenía ni idea de en qué sitio había usado esa contraseña bastante débil
    • Una vez recibí un correo con mi contraseña en texto plano y fue bastante desagradable
      Busqué rápido y vi que no era una contraseña que usara en ningún lugar importante para mí, así que lo dejé pasar, pero aun sabiendo que era una contraseña vieja, seguía sintiéndose inquietante
      Si no hubiera usado un gestor de contraseñas, no habría podido verificar de inmediato dónde se había usado esa contraseña y habría tenido que exprimirme la memoria; cuesta imaginar esa sensación
  • El impacto de HaveIBeenPwned en la concientización de los usuarios es notable
    En cambio, siento que SpyCloud no recibe suficiente reconocimiento, pese a tener un conjunto de datos 30 veces más grande y trabajar directamente con empresas para mitigar de verdad la reutilización de contraseñas
    Si alguna vez te pidieron restablecer tu contraseña al iniciar sesión en un sitio web grande, o recibiste un correo pidiéndote cambiarla porque era una contraseña usada en varios lugares, es muy probable que SpyCloud estuviera detrás

    • Tal vez no haya sido la intención, pero esa forma de decirlo suena como si HIBP no trabajara directamente con empresas para reducir la reutilización de contraseñas
      En realidad sí lo hace. Por ejemplo, hay colaboraciones con 1Password y otros gestores de contraseñas, Firefox, el FBI y los gobiernos del Reino Unido y Australia
    • Comparar un servicio gratuito que ayuda a millones de personas con una empresa que requiere suscripción para cualquier uso no es una comparación en el mismo plano
      Esta última no es útil en absoluto para la mayoría de la gente
    • Creo que la cantidad de personas que redujeron realmente la reutilización de contraseñas integrando los datos gratuitos de contraseñas pwned de Troy probablemente sea mayor que la cantidad de clientes de SpyCloud
  • Si te preocupa la privacidad, aquí está cómo eliminar tu información de las búsquedas públicas
    https://haveibeenpwned.com/OptOut

    • Si mi correo sigue estando en lugares como Collection #1 o Anti Public Combo List, excluirlo de HIBP no parece servir de mucho
      Quien quiera hacer algo malo con correos probablemente descargue las listas originales completas antes que scrapear un sitio agregador
    • Me pregunto si también soportan exclusión a nivel de dominio
    • Eso sí, hay que resolver Google ReCaptcha, así que a quienes son sensibles con la privacidad no les va a gustar
      Como referencia, dice que “el administrador del dominio al que pertenece la dirección de correo electrónico aún podrá verte en la búsqueda de dominio”
  • Me pregunto cuántas víctimas de acoso, durante los últimos 10 años, se habrán enterado de que sus agresores usaron HaveIBeenPwned como una herramienta sencilla de guía para encontrar y vulnerar sus cuentas y su vida privada.
    Claro, la postura del sitio es que la víctima debe registrarse antes de que un actor malicioso use el servicio y desactivar la exposición en las búsquedas.
    En otras palabras, causarles a otros usuarios el impacto de “¡tu información está ahí afuera!” apenas ingresan una dirección es más importante que la seguridad de los usuarios, en vez de mostrarlo después de verificar el correo.

    • Si se agrega verificación de correo, los costos operativos del servicio aumentarían mucho y quizá no sería sostenible.
      Si alguien ya tiene la dirección de correo de una persona, ¿realmente necesita HIBP para averiguar dónde se usó esa dirección? ¿No salen ya muchos resultados solo con Google?
    • De acuerdo. Es peor porque le da al atacante el 90% de la información que necesita, pero no le dice a la víctima qué datos se filtraron.
      Me gustaría ver el hash para poder averiguar qué contraseña fue comprometida.
    • ¿Podrías explicar más cómo se puede abusar de HIBP? Solo comprueba si un correo está en una lista de filtraciones.
  • Eso de “andar en jet ski y hacer lo que se me dé la gana”: ¿Troy Hunt es una variante de Mobius?

  • Me pregunto si ha escrito mucho sobre los detalles del divorcio.
    ¿Se puede entender que se alargó y salió caro por el proceso de dividir el 50% de los activos y determinar quién es dueño de qué?