Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Have I Been Pwned n’est plus à vendre

Troy Hunt l’a annoncé lundi soir : après avoir passé onze mois à chercher un acquéreur, il renonce à l’idée. Son service restera donc indépendant. Il permet pour rappel de savoir si des identifiants et mots de passe ont été volés au cours d’une attaque.

Dans un long billet de blog, il revient sur le projet Svalbard (du nom de l’archipel arctique où se trouve notamment la Réserve mondiale de semences), nom donné à son projet de vente. Il explique comment le long processus fut parsemé d'embûches.

Il évoque ses critères de sélection stricts, notamment sur la manière dont seraient gérées les données, et comment il a abouti à une seule entité, non nommée mais présentée initialement comme « idéale ». Cette structure aurait cependant modifié son modèle commercial dans les derniers temps. Le jugeant finalement inadapté, Troy Hunt a annulé l’opération.

Il n’est pas prévu d’autre campagne de recherche, et Have I Been Pwned restera indépendant, même si Hunt ajoute que la structure doit se renforcer, notamment au travers de partenariats. 

Puisqu’il s’agit d’une entreprise, des liens ont déjà été tissés avec d’autres, notamment la fondation Mozilla (dans Firefox Monitor) et Cloudflare. Troy Hunt ajoute que cinq nouveaux gouvernements participent : l’Autriche, l’Irlande, la Norvège, la Suisse et le Danemark. Un sixième devrait être annoncé dans les jours qui viennent.

Sur les onze derniers mois, le service a enregistré 77 nouvelles fuites de données, pour un total de 1,7 milliard d’enregistrements. Environ 400 000 personnes se sont également inscrites au service.

Enfin, Hunt précise avoir dans ses cartons un projet sur lequel il travaille depuis deux ans et ayant trait à la manière dont l’industrie traite le flot des fuites de données. Il n’en dit cependant pas plus pour l’instant.

23 commentaires
Avatar de Abolah Abonné
Avatar de AbolahAbolah- 04/03/20 à 09:36:31

C'est une bonne nouvelle de savoir qu'un tel outil va rester indépendant. Et également remercier Troy Hunt d'être resté fidèle à son désir de voir l'outil correctement repris après rachat, quitte à tout annuler malgré les probables dizaines de millions de $$$ promis pour l'acquisition.

Avatar de TexMex Abonné
Avatar de TexMexTexMex- 04/03/20 à 10:56:54

21 ans après le lancement du WWW la gars lance ce truc. Effectivement il n'y avait rien dans ce genre. Et le cas "Adobe" revêt même encore aujourd'hui une magnitude non negligeable.
28 ans après les gouvernements commencent à le financer (mais pas trop).
 
 En gros les gouvernements sont encore 3 métros derrière.
 

Avatar de Naneday INpactien
Avatar de NanedayNaneday- 04/03/20 à 11:16:56

un site qui permet de verifier quelles adresses sont toujours utilisable ;)

puis c'est en vente? pourquoi? ca prouve bien que ce site est louche

Édité par Naneday le 04/03/2020 à 11:17
Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 04/03/20 à 11:43:04

Naneday a écrit :

un site qui permet de verifier quelles adresses sont toujours utilisable ;)

puis c'est en vente? pourquoi? ca prouve bien que ce site est louche

Parce que c'est un travail titanesque pour un seul gars. C'est expliqué dans l'actu du premier lien :
 

« À ce jour, chaque ligne de code, chaque configuration et chaque
fuite de données a été traitée par moi seul. Il n'y a pas "d'équipe
HIBP", il y a un gars qui garde tout ça à flot », explique Troy Hunt. « Ce
n’est pas seulement un problème de charge de travail. Je devenais de
plus en plus conscient du fait que j'étais le seul point de défaillance ;
et cela doit changer », ajoute-t-il.

Un projet avec un bus factor de 1 est clairement en danger de mort.

Édité par Jarodd le 04/03/2020 à 11:43
Avatar de hellmut Abonné
Avatar de hellmuthellmut- 04/03/20 à 14:56:35

ah ben évidemment.
c'est un peu pareil pour gpg et ssl il me semble. c'est utilisé par tout le monde, mais les mecs qui développent et maintiennent ça sont presque tout seuls dans leur garage.

Avatar de Urtok INpactien
Avatar de UrtokUrtok- 04/03/20 à 16:57:59

Ce site n'est pas louche, de plus Firefox se base dessus pour savoir si des mails/identifiants ont fuité avec le Firefox Monitor

Avatar de fofo9012 Abonné
Avatar de fofo9012fofo9012- 05/03/20 à 07:47:03

Je n'ai jamais compris ce site, c'est pas du recel ? Le opt-in du RGPD c'est un concept vague pour ce pauvre Troy !

Nos mails ont été volés par différents biais et ce type essaie de vendre ces listes de mails valides.
Les mails non vérolés qui sont saisies ils deviennent quoi ils sont sauvegardés ?

Si demain j'ouvre une concession vendant exclusivement des voitures volées je vais rapidement avoir des ennuis... À côté de ça on laisse ce site exploiter des données personnelles volées en toute impunité !

Avatar de fry Abonné
Avatar de fryfry- 05/03/20 à 08:26:02

de mémoire c'est pas les données elles-mêmes qu'il contient, mais un hash des emails qui ont fuités, et quand tu saisis ton mail, c'est pas lui qui est envoyé au site pour voir s'il existe dans la base, c'est son hash uniquement
donc il a rien à revendre, c'est le service de vérification et le maintient de la bd

Avatar de Freeben666 Abonné
Avatar de Freeben666Freeben666- 05/03/20 à 09:49:20

Ce que tu décris c'est pour les mots de passe. Les adresses mail sont stockées en clair.
https://www.troyhunt.com/working-with-154-million-records-on/

Avatar de PtiDidi Abonné
Avatar de PtiDidiPtiDidi- 06/03/20 à 22:28:59

fofo9012 a écrit :

Nos mails ont été volés par différents biais et ce type essaie de vendre ces listes de mails valides.
Les mails non vérolés qui sont saisies ils deviennent quoi ils sont sauvegardés ?

Où as tu vu que l'on pouvait acheter des listes de mails?
Dailleurs, comment ferait-il pour savoir si les mails sont valides?
J'avais lu que non, les mails testés n'étaient pas sauvegardés mais je ne trouve plus où

Il n'est plus possible de commenter cette actualité.
Page 1 / 3