Sejarah 10 Tahun "Have I Been Pwned"
(troyhunt.com)- Have I Been Pwned (HIBP), yang diluncurkan Troy Hunt pada 4 Desember 2013, berawal dari proyek pribadi untuk memeriksa apakah sebuah email pernah bocor, lalu 10 tahun kemudian menjadi infrastruktur keamanan yang diandalkan individu, perusahaan, dan pemerintah
- Sulit mendapatkan domain
.comdengan nama biasa, dan saat itu pilihannya dibuat tanpa menganggap proyek ini akan bertahan lama, tetapi kata pwned kini sangat lekat dengan HIBP - Melalui paparan media, kesaksian di Kongres AS, kerja sama dengan lembaga penegak hukum seperti FBI dan NCA Inggris, serta peluncuran Pwned Passwords, peran HIBP melampaui sekadar situs pencarian
- Project Svalbard, proyek pada 2019 untuk mempertimbangkan penjualan, berjalan di tengah stres pribadi dan persoalan ketergantungan layanan, tetapi akhirnya batal; Hunt kembali menegaskan bahwa independensi penting baginya
- Ke depan, kebocoran tampaknya akan terus meningkat, dan HIBP akan bergerak menuju operasional yang lebih formal, sambil berusaha menghindari tumbuh menjadi organisasi besar dan beban yang tidak diinginkan Hunt
Dari proyek kecil menjadi infrastruktur berumur 10 tahun
- Pada 4 Desember 2013, Troy Hunt meluncurkan layanan ini lewat sebuah tweet yang menyatakan bahwa “Have I Been Pwned?” mulai berfungsi
- Keesokan harinya, ia memublikasikan di blog bagaimana ia membuat 154 juta record dapat dicari dengan cepat, dan tulisan ber-tag HIBP telah mencapai 185 hingga artikel ulang tahun ke-10
- Refleksi 10 tahun ini membahas cara layanan dibangun, keputusan operasional, berbagai insiden breach, serta beberapa pengalaman yang sebelumnya belum pernah ia ceritakan secara publik
Mengapa “Pwned”?
- Pemilihan nama dipengaruhi realitas bahwa sulit mendapatkan domain
.comdengan nama bahasa Inggris yang biasa, dan ekspektasi bahwa proyek ini akan bertahan lama juga tidak besar - “pwned” semakin terhubung dengan HIBP seolah menjadi sinonim, dan bagi banyak orang kata ini pertama kali ditemui dalam konteks “Have I Been...”
- Materi online yang menjelaskan arti “pwned” juga menampilkan HIBP yang dibuat Hunt pada 2013 sebagai contoh
- Karena namanya sering salah diucapkan atau salah ketik, Hunt akhirnya memiliki berbagai domain variasi
haveibeenpaened.comhaveibeenpwnded.comhaveibeenporned.comhaveibeenprawned.comhaveibeenburned.comhaveigotpwned.comhaveibeenrekt.comhaveibeenfucked.com
Paparan media dan kejutan trafik
- Setiap kali kebocoran data menjadi berita arus utama, HIBP sering disebut sebagai “tempat untuk memeriksa apakah seseorang terdampak”
- Paparan media meningkatkan awareness, tetapi setelah acara Martin Lewis Money Show di Inggris tayang pada 2016, trafik yang datang sampai membuat layanan offline
- Dari pengalaman ini, Hunt mendapat pelajaran tentang menangani lonjakan trafik besar dan mengambil langkah agar hal yang sama tidak terulang
- Pada 2018, Gizmodo memasukkan HIBP bersama Wikipedia, Google, Amazon, dan lainnya sebagai salah satu dari “100 situs web yang membentuk internet”
- Pada 2014, TIME memilih HIBP sebagai salah satu dari 50 situs web terbaik tahun itu
- HIBP juga muncul di berbagai media besar seperti The Wall Street Journal, The Standard, USA Today, Toronto Star, De Telegraaf, VG, Le Monde, dan Corriere della Sera
Kesaksian di Kongres AS
- Sekitar 6 tahun lalu, Hunt memberikan kesaksian di Congress AS tentang dampak kebocoran data terhadap verifikasi identitas
- Karena sidangnya terbuka untuk publik, video kesaksiannya tersimpan sebagai rekaman
- Pengalaman menjawab pertanyaan para anggota parlemen ini menjadi salah satu momen paling berkesan dalam karier Hunt
- Foto saat itu kini tergantung di dinding luar kantornya, terus mengingatkannya bagaimana HIBP bisa membawanya sampai ke tempat tersebut
Project Svalbard dan batalnya penjualan
- Pada Juni 2019, Hunt mengumumkan kemungkinan penjualan HIBP dengan nama Project Svalbard
- Salah satu alasan besar di balik keputusan saat itu adalah stres, dan lebih dari setahun kemudian ia mengungkap bahwa salah satu penyebab penting stres tersebut adalah perceraian
- Masalah hubungan menciptakan tekanan besar, dan Hunt berpikir bahwa menjual proyek yang ia cintai tetapi tuntutannya terus meningkat bisa menjadi jalan keluar
- Project Svalbard justru berujung pada perselisihan hukum dengan mantan pasangannya, dan nilai yang tampaknya akan terealisasi jika penjualan terjadi menjadi bagian dari sengketa
- Saat berdiskusi dengan sejumlah perusahaan teknologi di San Francisco sebagai calon pengakuisisi, seorang calon atasan baru menanyakan “hari sempurna di kantor” versinya; saat itu Hunt menyadari betapa penting independensi baginya
- Enam bulan kemudian, Project Svalbard berakhir setelah transaksi yang sudah disepakati batal
- Detail tepatnya tidak bisa ia sampaikan karena NDA, dan frasa yang digunakan secara publik adalah “perubahan kondisi bisnis di pihak pembeli”
- Jika melihat ke belakang, Hunt merasa ia kehilangan banyak hal, tetapi sangat bersyukur atas hasil akhirnya
Kerja sama dengan FBI, NCA, dan lembaga penegak hukum
- Bagi Hunt 10 tahun lalu, situasi ketika FBI terhubung secara publik dengan HIBP adalah hal yang tidak terbayangkan
- FBI memasok data ke HIBP, begitu pula NCA Inggris dan berbagai lembaga penegak hukum di seluruh dunia
- Berbagai pemerintah negara juga mulai berbicara secara terbuka tentang penggunaan HIBP
- Pada September 2023, ABC membahas peran HIBP dan Hunt sebagai “tanda aneh zaman ini”, menilai bahwa “satu orang di web” secara aneh menjadi sosok yang sentral dalam keamanan siber global
- Tujuan HIBP adalah “melakukan hal baik setelah sesuatu yang buruk terjadi”, dan ini selaras dengan tujuan lembaga penegak hukum untuk melindungi masyarakat
- Hunt mengatakan 10 tahun lalu ia belum memahami bahwa lembaga penegak hukum sering bekerja bersama perusahaan swasta untuk melindungi orang, tetapi kini ia memiliki hubungan yang produktif dengan orang-orang di berbagai lembaga
Pertumbuhan Pwned Passwords
- Awalnya tidak ada rencana memasukkan kata sandi ke HIBP, dan Hunt menilai situasi ketika kata sandi muncul di sebelah nama pengguna harus dihindari
- Namun, ia menilai daftar kata sandi bocor yang dipisahkan dari data pribadi dapat menjadi cara memanfaatkan data breach untuk tujuan baik
- Pada 2017, Pwned Passwords diluncurkan
- Pada September 2023, Pwned Passwords mencatat 282 juta request per hari, dan akumulasi request 30 hari melampaui 6 miliar
- Dalam statistik terbaru pada saat refleksi ditulis, layanan ini menangani 301,6 juta request per hari dalam satu minggu, dan 100.0000000000% dari request tersebut dilayani dari cache Cloudflare
- Layanan ini gratis, tidak membutuhkan autentikasi, kode dan datanya sama-sama open source, dan FBI memasok data
- Hunt menilai cukup banyak akun yang dicuri dalam serangan credential stuffing terhadap layanan online berskala besar menggunakan kata sandi yang sebenarnya bisa diblokir
Paradoks dalam menangani data breach
- HIBP memiliki paradoks sebagai layanan yang menangani data bocor hasil kejahatan, tetapi pada saat yang sama berupaya melayani kepentingan publik
- Sebagian orang mengatakan akan melaporkannya ke FBI karena menyimpan data curian, tetapi Hunt sudah bekerja sama dengan FBI
- Ada pula kritik bahwa layanan ini “memproses data tanpa persetujuan” dengan merujuk pada hukum perlindungan data pribadi, terutama UE dan GDPR
- Hunt memandang bahwa tidak ada seorang pun yang menyetujui datanya masuk ke kebocoran sejak awal, dan insiden kebocoran dengan tindakan HIBP mengindeksnya agar dapat dicari adalah dua pembahasan yang berbeda
- Selama 10 tahun, keluhan umumnya sedikit, hingga jumlah kasus per tahun bisa dihitung dengan jari satu tangan
- Keluhan resmi yang masuk melalui regulator privasi pemerintah terjadi satu kali dalam 10 tahun, dan ditutup setelah Hunt menjawab pertanyaan
Orang dan struktur operasional
- Pada awalnya HIBP adalah proyek hobi yang dikerjakan Hunt sendirian dengan waktu pribadinya
- Pekerjaan awal mencakup membangun layanan, memperoleh data breach, memverifikasi, memublikasikan, menulis penjelasan, dan mengedit sendiri lebih dari 700 logo
- Kini, seiring menjadi bagian penting dari internet yang diandalkan banyak individu, perusahaan, dan pemerintah, masalah ketergantungan pada satu orang, yaitu Hunt, semakin besar
- Latar belakang pertimbangan penjualan pada 2019 juga sebagian terkait dengan “struktur yang hanya bergantung pada satu orang, Hunt”
- Ada opsi untuk merekrut orang dan berkembang seperti perusahaan biasa, tetapi Hunt tidak menganggap tanggung jawab seperti kontrak kerja, negosiasi gaji, evaluasi kinerja, cuti sakit, dan cuti tahunan sebagai hal yang menarik
-
Peran Charlotte
- Pada awal 2021, Charlotte, yang saat itu akan segera menjadi istrinya, mulai bekerja di HIBP
- Charlotte telah bekerja selama 8 tahun sebagai project manager konferensi NDC yang berbasis di Norwegia, berurusan dengan software developer, pembicara, peserta, sponsor, dan peserta dari perusahaan
- Ia bukan penanggung jawab teknis, tetapi memiliki gelar terkait PR dan kewirausahaan, serta akrab dengan dunia teknologi tempat HIBP berada
- Charlotte menangani onboarding pelanggan korporat, tiket dukungan untuk pelanggan API dan domain, serta urusan akuntansi dan pajak
-
Peran Stefán Jökull Sigurðarson
- Pada awal 2023, Stefán Jökull Sigurðarson bergabung paruh waktu dan menangani berbagai pekerjaan pengembangan seperti menulis kode, merapikan, dan migrasi
- Stefán telah mengikuti layanan ini sejak HIBP diluncurkan, dan pada awal 2018 mengembangkan salah satu integrasi besar awal untuk API PwnedPasswords v2 di EVE
- Ia memandang HIBP sebagai bagian dari perjalanan yang mencakup karier public speaking, kontribusi open source, peran MVP, dan kontribusi untuk internet yang lebih aman
- Bagi Hunt, penting bahwa bagi Stefán, HIBP bukan sekadar pekerjaan, melainkan passion
Kasus breach yang berkesan
- Selama 10 tahun, breach yang masuk ke HIBP mencapai 731 kasus
-
Ashley Madison
- Insiden 2015 berdampak besar pada penggunaan HIBP dan meninggalkan kesan mendalam dalam interaksi Hunt dengan para korban
- Hal-hal yang disampaikan anggota Ashley Madison kepada Hunt masih menjadi tulisan yang sulit dibaca
-
Collection #1
- Pada awal 2019, ini sangat meningkatkan stres Hunt dan sangat memengaruhi keputusan untuk mempertimbangkan penjualan layanan
- Dengan 773 juta record, ini adalah breach terbesar di HIBP hingga saat refleksi ditulis
-
Rosebutt
- Ini adalah contoh bahwa kebocoran data yang serius pun terkadang bisa menciptakan momen lucu
-
Shit Express
- Ini adalah kasus ketika situs yang mengirimkan potongan kotoran secara anonim mengalami breach, sehingga anonimitasnya terguncang
- Hunt kemudian menulis bahwa klaim anonimitas sering kali sangat menyesatkan
Arah ke depan
- Rutinitas harian Hunt kira-kira dimulai dengan memeriksa email dan kejadian sepanjang malam, lalu bergerak mengikuti kebutuhan hari itu
- Cara operasional seperti ini terkait dengan alasan mengapa ia tidak ingin HIBP tumbuh menjadi organisasi dengan tanggung jawab lebih besar
- Pada saat yang sama, HIBP secara bertahap menjadi lebih formal
- Tiga tahun lalu, Hunt mengerjakan 100% semuanya sendiri
- Setahun lalu, ia mengerjakan semua pekerjaan teknis sendiri
- Enam bulan lalu, belum ada sistem tiket untuk dukungan
- Hunt ingin HIBP bertahan lebih lama darinya, tetapi tidak ingin proses itu menjadi beban yang mengikat dirinya
- Ia memperkirakan akan ada lebih banyak breach ke depan, dan belakangan merasa ransomware meningkat dengan cepat
- Masih ada pertanyaan apakah orang-orang yang email, dokumen, dan berbagai datanya dipublikasikan lewat ransomware mengetahui bahwa mereka terekspos
- Mengindeks data semacam itu tidak sederhana karena berbagai alasan, tetapi menurutnya pekerjaan itu tampak semakin bernilai
1 komentar
Opini Hacker News
Troy Hunt benar-benar sosok yang sangat berharga, dan jika Anda pengembang aplikasi web, tidak ada alasan untuk tidak menerapkan pertahanan terhadap credential stuffing.
Yang terbaik mungkin autentikasi dua faktor[1], tetapi mencocokkan dengan basis data kata sandi ter-hash milik Hunt juga menjadi pertahanan yang cukup baik tanpa menambah beban bagi pengguna.
Saya tidak punya data pendukung, tetapi menurut saya mayoritas besar akun yang dibobol berasal dari credential stuffing atau penggunaan ulang kata sandi. Saya heran kalau mendengar perusahaan besar tidak melakukan pemeriksaan semacam ini, padahal pengaturannya sederhana dan bisa dilakukan dalam kira-kira sehari.
Jika Anda CTO muda atau engineer webapp tahap awal, suatu hari Anda bisa saja dibanjiri telepon pukul 1 dini hari, situs Anda dihajar, awalnya mengira itu DDoS, lalu menyadari sebagian besar trafik menuju halaman login, dan merinding ketika tahu sebagian di antaranya benar-benar berhasil login. Setelah itu Anda harus menanganinya semalaman dan mengirim pemberitahuan pelanggaran, yang benar-benar menyiksa.
Basis data gratis dari Troy Hunt mungkin bisa mengurangi penderitaan itu, jadi sebaiknya lakukan saja.
Seorang karyawan marah karena menganggap tindakan itu pelanggaran privasi. Saya tidak ingat siapa yang memulai langkah hukum, tetapi kesimpulan pegawai FBI dan hakim adalah bahwa meskipun niat administrator sistem itu meningkatkan keamanan, tindakan mengakses hash kata sandi yang berada di bawah tanggung jawabnya sendiri tetap dianggap pelanggaran privasi yang bersifat pidana.
Jika pegawai FBI itu tidak mengarang cerita, tampaknya lebih hati-hati untuk melalui tinjauan tim hukum sebelum memeriksa apakah hash kata sandi karyawan ada di haveibeenpwned.
Misalnya, jika dalam 1 menit terakhir ada 20 kegagalan login dari IP yang sama atau untuk nama pengguna yang sama, blokir IP atau nama pengguna itu selama 15 menit. Banyak API gateway, ingress K8s, dan sejenisnya mendukung ini dengan sangat mudah; kalau tidak pun, Anda bisa menyimpan jumlah percobaan login terbaru di tempat seperti Redis dan menambahkannya dengan beberapa baris kode.
Mencocokkan dengan basis data HIBP juga pilihan bagus, tetapi untuk menghentikan serangan ini, rate limiting jauh lebih efektif.
Misalnya, kalau Tumblr diretas dan kata sandi saya
hunter2bocor, Tumblr memakai HMAC-MD5 sederhana dengan salt, sementara situs saya tentu memakai argon2 dengan salt berbeda, maka meskipun kata sandinya sama, hash yang dihasilkan akan berbeda. Saya tidak mengerti bagaimana ini efektif untuk mencegah credential stuffing.Lebih baik siapkan OAuth sosial, SSO, atau email magic link dan limpahkan masalah itu ke pihak lain.
1234sebagai kata sandi.Kalau bukan situs yang menargetkan orang-orang rentan, menurut saya itu tanggung jawab pengguna. Seperti komentar lain, pengguna seperti ini mungkin akan menyelesaikan error dengan cara termudah, misalnya
1234namasitusweb.Batasan apa pun yang ditambahkan pada kolom kata sandi akan mengurangi entropi, dan meskipun kecil, menurut saya itu menurunkan keamanan semua orang.
Saya ingat dulu situs ini memberi pengalaman yang luar biasa, tetapi sekarang rasanya seperti mesin uang yang mengharuskan membayar US$169,50 per tahun hanya untuk melihat 100 akun yang bocor.
Saya memakai alamat email unik untuk setiap situs web demi mendeteksi kebocoran data. Ketika mencoba mencari hasil domain untuk domain yang dulu bahkan sudah saya verifikasi kepemilikannya, muncul error: “untuk mencari domain dengan lebih dari 10 akun yang bocor, diperlukan langganan dengan ukuran yang memadai.”
Yang lebih buruk, Troy juga memasukkan kumpulan data publik sebagai ‘kebocoran’, sehingga jatah jumlah akun membengkak secara artifisial. Misalnya ketika kumpulan kontak publik yang di-scrape dari GitHub bocor, itu juga dihitung sebagai kebocoran, padahal alamat email saya memang sengaja saya buat publik.
Untuk layanan berbiaya rendah seperti ini, saya bersedia membayar US$5–12 per tahun, tetapi harga saat ini tidak masuk akal.
Kekurangannya adalah Anda harus mengelola basis data sendiri dan sering memperbaruinya. Saya melihat cukup banyak layanan pencari uang seperti ini yang bermunculan, menjual akses basis data API berbayar.
Rasanya berlebihan menganggap use case yang sangat spesifik itu sebagai sapi perah bagi Troy Hunt.
Saya tidak ingat pernah melihat pemberitahuan tentang perubahan ini.
Awalnya dimulai sebagai layanan yang bagus, lalu ketika penggunaan meningkat, fitur dimasukkan ke balik paywall dan layanan gratis diturunkan sampai nyaris tidak berguna; model freemium yang buruk. Facebook memang buruk, tetapi tidak sampai sejauh ini; “Facebook gratis” hanya menjadi lebih banyak pelacakan, sementara fiturnya tetap kurang lebih seperti tahun 2010.
Varian seperti
haveibeenburned.com,haveigotpwned.com,haveibeenrekt.com, danhaveibeenfucked.comyang konon diusulkan seseorang setelah diketahui PornHub mengikuti akun itu adalah efek samping ketenaran media yang cukup lucuSebagai gantinya, mungkin bisa dibuat basis data hash pengenalan wajah untuk revenge porn, lalu orang mengunggah hash serupa dari wajahnya sendiri untuk memeriksa apakah ada di suatu tempat online
Itu tingkat rasa canggung yang tidak pernah saya bayangkan
Saya sangat menyukai tulisan informatif Hunt
Saya ingat membaca cara memakai k-anonymity untuk mencocokkan kata sandi dengan berkas pwned tanpa mengirim data pribadi sungguhan, dan berkat itu saya mempelajari konsep tersebut lalu memakainya juga dalam proyek kerja
Kadang saya berpikir apa yang akan saya lakukan jika tidak membaca tulisan-tulisan tentang pemeriksaan tanpa mengirim data pribadi sungguhan
Saya juga ingin menyoroti Junade Ali, yang disebut Troy sebagai pengusulnya[1]. Ia menjelaskannya lebih rinci dalam tulisan terkait[2]
Bukan berarti Junade yang menciptakannya; aslinya tampaknya berasal dari Pierangela Samarati, Latanya Sweeney, dan Tore Dalenius[3], tetapi tulisan blognya adalah penjelasan yang sangat baik dengan konsep yang akrab bagi pengembang perangkat lunak
[1] https://www.troyhunt.com/ive-just-launched-pwned-passwords-v...
[2] https://blog.cloudflare.com/validating-leaked-passwords-with...
[3] https://en.wikipedia.org/wiki/K-anonymity
Para pemeras penipu memakai basis data kata sandi pwned untuk membuat email phishing yang cukup meyakinkan
Isinya kira-kira, “Saya memasang remote access tool di sistemmu dan mengawasimu lewat webcam. Bukti peretasannya adalah kata sandi ini. Kirim BTC senilai 1.800 dolar ke alamat ini dan jangan pergi ke polisi. Lain kali pakai password manager.” Saya penasaran apakah ada orang yang benar-benar tertipu oleh penipuan seperti ini
Sepertinya sebagian besar akan tertahan filter spam, dan saya hanya melihatnya ketika lolos filter SPF/DKIM lalu melatih filter lebih lanjut. Kelihatannya cukup cerdik
Saya berterima kasih atas layanan itu sendiri dan juga senang membaca tulisan Troy Hunt. HIBP luar biasa
Isinya bukan kata sandi lama, melainkan alamat surat lengkap dan 4 digit terakhir kartu kredit, dan memang ada orang yang mempercayainya
Fitur ini saja tidak memungkinkan serangan seperti itu
Saya sendiri pernah menerima email seperti ini sekali dua kali, dan sama sekali tidak bisa menebak di situs mana saya memakai kata sandi yang cukup lemah itu
Setelah cepat mencari, ternyata itu kata sandi yang tidak saya pakai di tempat yang saya anggap penting, jadi saya abaikan, tetapi meski tahu itu kata sandi lama, tetap saja terasa mengganjal
Kalau saya tidak memakai password manager, saya tidak akan bisa langsung memastikan kata sandi itu dipakai di mana dan harus memeras ingatan; sulit membayangkan rasanya
Dampak HaveIBeenPwned terhadap kesadaran pengguna patut diperhatikan
Di sisi lain, SpyCloud punya dataset 30 kali lebih besar dan bekerja langsung dengan perusahaan untuk benar-benar memitigasi penggunaan ulang kata sandi, tetapi rasanya belum mendapat pengakuan yang cukup
Jika Anda pernah diminta mereset kata sandi saat login ke situs web besar, atau menerima email yang meminta Anda mengganti kata sandi karena dipakai di banyak tempat, kemungkinan besar SpyCloud ada di baliknya
Padahal sebenarnya iya. Misalnya ada kerja sama dengan 1Password dan password manager lain, Firefox, FBI, serta pemerintah Inggris dan Australia
Yang terakhir sama sekali tidak berguna bagi kebanyakan orang
Bagi orang yang peduli pada perlindungan data pribadi, cara menghapus informasi diri dari pencarian publik ada di sini
https://haveibeenpwned.com/OptOut
Orang yang ingin berbuat jahat dengan email kemungkinan besar akan mengunduh daftar lengkap aslinya, bukan mengikis situs agregator
Sebagai catatan, tertulis bahwa “administrator domain tempat alamat email berada masih dapat melihat Anda dalam pencarian domain”
Selama 10 tahun terakhir, saya penasaran berapa banyak korban stalking yang mengetahui bahwa pelakunya menggunakan HaveIBeenPwned sebagai alat panduan yang mudah untuk menemukan dan membobol akun serta kehidupan pribadi mereka.
Tentu saja, posisi situs ini adalah korban harus mendaftar terlebih dahulu dan mematikan kemunculan di pencarian sebelum pelaku berniat jahat menggunakan layanan tersebut.
Artinya, memberi kejutan kepada pengguna lain dengan pesan “informasi Anda ada di luar sana!” begitu alamat dimasukkan dianggap lebih penting daripada keselamatan pengguna, dibanding menampilkannya setelah verifikasi email.
Kalau seseorang sudah memiliki alamat email orang lain, apakah mereka benar-benar perlu HIBP untuk mencari tahu alamat itu dipakai di mana? Bukankah Google saja sudah memunculkan banyak hasil?
Saya ingin melihat hash agar bisa mengetahui kata sandi mana yang telah disusupi.
“Naik jet ski dan melakukan apa pun yang ingin kulakukan” — apakah Troy Hunt ini varian Mobius?
Saya penasaran apakah dia pernah banyak menulis tentang detail perceraiannya.
Apakah bisa dianggap prosesnya menjadi panjang dan mahal karena pembagian aset 50% serta penentuan siapa memiliki apa?