Vevőt keres az alapító Troy Hunt a Have I Been Pwned nevű szolgáltatására. Ezt maga Hunt jelentette be Project Svalbard: The Future of Have I Been Pwned című posztjában. (A Poject Svalbard a Spitzbergákon – norvég neve Svalbard – létesített hatalmas vetőmagbankra utal.)

Ingyenes, nagyon nagy, és fejleszteni is kell

Az ausztrál biztonsági szakember 2013-ban hozta létre az online adatbázisát, amelyen a nagy adatszivárgásokban érintett email-címeket gyűjtötte és tette kereshetővé. Az oldal, amely minden nagyobb adatszivárgási incidens adatait begyűjtötte, gyorsan népszerűvé vált, hiszen pár kattintással bárki megtudhatta, hogy érintett-e, és kell-e jelszót cserélnie. Eddig közel 8 milliárd kompromittálódott cím gyűlt össze.

Hunt később lehetővé tette, hogy emailes értesítést is lehessen kérni, ha mailcímünket érintette adatszivárgási incidens. Az feliratkozó mintegy 3 millió felhasználónak összesen 7 millió emailt küldött. Magát a webhelyet normál napokon 150 ezren, egy-egy incidens napvilágra kerülésekor olykor 10 millióan is felkeresték. Az automatizált lekérdezést lehetővé tevő API-n keresztül is napi több millió kérés érkezett az adatbázishoz.

A végfelhasználók lényegében ingyen használhatták az adatbázist, de Hunt 2015-ben vállalati ügyfeleknek kereskedelmi szolgáltatást is indított. Telkókkal, biztonsági cégekkel stb. köztött egyedi megállapodásokat.

A nagy probléma az volt, hogy mindezt Hunt egyedül csinálta. A napi munkához pedig az ismetség növekedésével jöttek az mind gyakoribb interjúk, a nemzetközi konferenciák. Így teljesen érthető, ha a szakember úgy érzi, a hat éve hobbiprojektként indított oldal túlnőtt rajta, és már komoly csapat kell az üzemeltetéshez.

Különösen úgy, hogy közben egyfajta netes intézmény is lett. Tavaly a szolgáltatást a Mozilla becsatornázta a Firefox Monitorba, majd idén a Google is kiadott egy Chrome-kiegészítőt, a Password Checkupot, amely Troy Hunt adatbázisa alapján jelzi, ha a böngészőben kompromittálódott jelszóval akarunk bejelentkezni egy webes fiókba.

A Collection #1 hozta a döntést

A fordulópontot egy januárban kikerült adatcsomag hozta. A Collection #1-ként emlegetett, összesen 87 gigabájtos gyűjtemény hatalmas feladat elé állította Huntot.

A szakember lelkiismeretes munkát végzett, és rendszerezte a meglehetősen kaotikus adattömeget, ennek eredményeként derült ki, hogy 773 millió egyedi mailcím mellett 21 millió egyedi jelszó is része volt a gyűjteménynek. Azt azonban végképp világossá vált számára, hogy ezt a munka egyedül nem tudja folytatni a kiégés veszélye nélkül. Ekkor megkeresett olyan szervezeteket, melyekről úgy gondolta, érdekelheti őket a Have I Been Pwned továbbvitele.

Mint a posztban írja, azóta annyi történt, hogy a KPMG segítségét is kérte az értékesítéshez. Ötletek vannak, több vevőjelölttel is folynak tárgyalások, de konkrétumok egyelőre nincsenek.

Hunt a vevőkeresést bejelentő posztjában külön kitért a feltételeire. Ragaszkodik például ahhoz, hogy magánszemélyek továbbra is ingyenesen férjenek hozzá a keresési lehetőséghez, de vannak tervei a szolgáltatások bővítésére, valamint a vállalatok számára nyújtandó támogatásokra is. Szintén nagy hangsúlyt fektetne a felhasználók oktatására, a biztonságtudatosságuk javítására. Az alku része maga az alapító is, azaz maradna továbbra is a Have I Been Pwnednél, hiszen a szolgáltatás összeforrt alapítója nevével.

Egyáltalán nem mindegy, milyen kezekbe kerül a gyűjtemény, hiszen egy ekkora gyűjtemény hatalmas fegyver is. Elég csak abba belegondolni, hogy a felhasználók jelentős része soha nem ellenőrzi online fiókjai biztonságát, és így kompromittálódott fiókjai jelszavát sem módosítja.