1658 Letture
Com'è nato Have I been pwned, servizio per conoscere i dettagli sui data breach

Com'è nato Have I been pwned, servizio per conoscere i dettagli sui data breach

L'ideatore di Have I been pwned racconta com'è nata la sua "creatura", sempre più utilizzata ancora oggi per verificare se i propri indirizzi email e le proprie password fossero stati coinvolti in qualche aggressione informatica.

Con il termine data breach si fa comunemente riferimento alla sottrazione di dati personali ed eventualmente anche informazioni sensibili da server informatici amministrati da uno o più soggetti. Il Garante Privacy italiano, citando il Regolamento generale sulla protezione dei dati - meglio conosciuto con l'acronimo GDPR - delinea in questa pagina i contorni di un data breach e, sulla base della normativa, riassume gli adempimenti ai quali i soggetti che trattano i dati devono sottostare nel caso in cui dovessero scoprire una violazione.

Nel 2013 nasceva Have I been pwned, servizio ideato dall'australiano Troy Hunt che nel corso del tempo ha sempre tenuto traccia di tutti i data breach verificatisi nel mondo dell'IT. Sulla piattaforma sono stati via a via raccolti i dati anonimizzati raccolti dai criminali informatici a seguito delle violazioni degli altrui sistemi informatici e successivamente pubblicati sulla rete Internet.


Senza condividere alcun dato personale, applicando un meccanismo di hashing sui nomi utente e sulle password, Have I been pwned ha permesso e permette tutt'oggi agli utenti di tutto il mondo di verificare se le proprie credenziali - per l'accesso a qualsivoglia servizio online - siano ancora considerabili sicure o possano essere note a soggetti non autorizzati.

Hunt spiega di aver sviluppato Have I been pwned quasi per gioco, inizialmente al fine di provare le potenzialità della piattaforma cloud Microsoft. In seguito il servizio è letteralmente esploso in termini di popolarità tanto che lo strumento ha cominciato a rivestire un ruolo più proattivo sul versante della sicurezza con il suo ideatore che ha siglato una serie di accordi per consentire a browser web e password manager di vari produttori di attingere al database di Have I been pwned per mettere in guardia gli utenti circa l'eventuale utilizzo di credenziali già violate.
Una mossa che è servita anche per sovvenzionare i crescenti costi di gestione del sito.

Anche molto prima della nascita di Have I Been Pwned, Hunt non era estraneo allo studio dell'argomento data breach. Nel 2011, per esempio, aveva iniziato ad analizzare in maniera dettagliata e metodica varie violazioni mostrando come, purtroppo, allora come oggi tantissimi utenti continuino a usare la stessa password di accesso su più servizi diversi. Così, quando un sito viene violato, gli aggressori hanno già la password per accedere agli altri account online di uno stesso utente.

Poi è arrivata la violazione subita da Adobe sui suoi server: è un po’ "il padre di tutti i data breach" come dichiarò a suo tempo lo stesso Hunt. I criminali informatici avevano infatti trafugato le credenziali di oltre 150 milioni di account utente pubblicando sul web tutti i dati.
Fu allora che nacque Have I Been Pwned.

Non ci è voluto molto perché il database di Have I Been Pwned cominciasse a diventare più ricco. Presto, infatti, si susseguirono i data breach di Sony, Snapchat e Yahoo e Have I Been Pwned è presto divenuto - per ogni utente - il sito web principe per verificare se uno o più account fossero stati coinvolti.
Hunt ha poi aggiunto i dati relativi ad altre violazioni "storiche" come quelle di MySpace, Zynga, Adult Friend Finder.

Nel 2015, Hunt ha aggiunto nei suoi database le informazioni sul data breach denunciato da Ashley Madison: I fedifraghi di Ashley Madison hanno nome e cognome. Fu una pagina tristissima perché dopo la pubblicazione dei dati da parte di un gruppo di criminali, si registrarono una serie di suicidi a seguito degli scandali che si ingenerarono.
In quell'occasione Hunt dovette allontanarsi dal suo approccio abituale, consapevole della delicatezza della questione. L'informatico australiano ha raccontato la storia di una persona che lo informò come una comunità locale avesse pubblicato una lista con i nomi di tutti coloro che erano stati coinvolti nel data breach di Ashley Madison.
Riferendosi a questo caso particolare, Hunt ha dichiarato: "si è chiaramente trattato di un giudizio morale e non intendo che Have I been pwned venga usato per questi scopi".
Così si è attivato per non consentire la ricerca del singolo indirizzo email tra i dati di uno specifico data breach.


Un utente ha raccontato a Hunt che il suo account era su Ashley Madison dopo una dolorosa rottura con il coniuge e che da allora si era risposato ma che in seguito è stato etichettato come adultero. Un altro ha detto di aver creato un account per cogliere in flagrante il marito, sospettato di tradimento.

La violazione di Ashely Madison ha rafforzato il punto di vista di Hunt sull'importanza di conservare il minor volume di dati possibile.

Hunt ha separato indirizzi email e password: è infatti disponibile anche il servizio - sempre gratuito - Pwned password che consente di cercare una propria password negli archivi per verificare se fosse entrata nelle maglie dei criminali informatici.
Gli hash delle password "violate" sono liberamente scaricabili dai server di Hunt e nell'articolo Password violate o insicure: come verificare le proprie abbiamo visto come fare delle ricerche in proprio, in ambito locale, senza far transitare nulla sulla rete Internet.


"Alcuni servizi simili sono nati nel corso del tempo ma il loro scopo era lucrare sui dati degli utenti e sono stati oggetto di provvedimenti giudiziari", ha aggiunto Hunt che da parte sua iniziò comunque a valutare la vendita del suo servizio. L'affare, ha spiegato, non è andato in porto perché l'acquirente che si era fatto avanti e con cui aveva intessuto una lunghissima trattativa, aveva deciso di cambiare il modello di business di Have I Been Pwned. Un repentino "cambio di rotta" che rese impossibile qualunque accordo.


A posteriori Hunt ritiene di aver davvero fatto la cosa giusta seppur alleggerito di qualche centinaio di migliaia di dollari di spese legali. Al momento Have I Been Pwned continuerà a funzionare come in passato: non ci sono altre ipotesi di vendita.
Solo a giugno 2020, Hunt ha caricato oltre 102 milioni di record nel database di Have I Been Pwned: un mese definito "tranquillo". Ma racconta che non soltanto a terzi arriva l'email di notifica di Have I Been Pwned.
All'inizio di quest'anno lui stesso è rimasto sorpreso nel ricevere un'email automatizzata dal suo stesso servizio che lo informava circa la violazione di un suo account. O meglio, più che della violazione dell'account email, della sottrazione di alcune sue credenziali su server gestiti da terze parti.

Com'è nato Have I been pwned, servizio per conoscere i dettagli sui data breach