Con il termine data breach si fa comunemente riferimento alla sottrazione di dati personali ed eventualmente anche di informazioni sensibili da server informatici amministrati da uno o più soggetti. Il Garante Privacy italiano, citando il Regolamento generale sulla protezione dei dati – meglio conosciuto con l’acronimo GDPR – delinea i contorni di un data breach e, sulla base della normativa, riassume gli adempimenti ai quali i soggetti che trattano i dati devono sottostare nel caso in cui dovessero scoprire una violazione. Nel 2013 nasceva Have I been pwned, servizio ideato dall’australiano Troy Hunt che nel corso del tempo ha sempre tenuto traccia di tutti i data breach verificatisi nel mondo dell’IT.
10 anni di Have I been pwned
Hunt racconta che quando egli fondò il progetto, dieci anni fa, pensava che sarebbe rapidamente passato “nel dimenticatoio”. Invece, Have I been pwned ha fatto registrare un successo sconfinato, con i dati di 731 violazioni raccolti in un decennio di attività.
Sulla piattaforma sono infatti raccolti i dati anonimizzati desunti dalle varie violazioni e successivamente pubblicati sulla rete Internet. Senza condividere alcun dato personale, applicando un meccanismo di hashing sui nomi utente e sulle password, Have I been pwned ha permesso e permette tutt’oggi agli utenti di tutto il mondo di verificare se le proprie credenziali – per l’accesso a qualsivoglia servizio online – siano ancora considerabili sicure o possano essere note a soggetti non autorizzati.
Hunt spiega di aver sviluppato Have I been pwned quasi per gioco, inizialmente al fine di provare le potenzialità della piattaforma cloud Microsoft. In seguito il servizio è letteralmente esploso in termini di popolarità tanto che lo strumento ha cominciato a rivestire un ruolo più proattivo sul versante della sicurezza con il suo ideatore che ha siglato una serie di accordi per consentire a browser Web e password manager di attingere al database di Have I been pwned per mettere in guardia gli utenti circa l’eventuale utilizzo di credenziali già violate. Una mossa che è servita anche per sovvenzionare i crescenti costi di gestione del sito.
Nell’articolo A decade of Have I been pwned, Hunt racconta diversi passaggi davvero importanti. Ad esempio ricorda quando si trovò dinanzi al Congresso USA per parlare dell’impatto delle violazioni di dati sulle identità digitali degli utenti. Quell’esperienza ha contribuito significativamente alla crescita di Have I been pwned.
Analisi delle password utilizzate dagli utenti di tutto il mondo
Anche molto prima della nascita di Have I Been Pwned, Hunt non era estraneo allo studio dell’argomento data breach. Nel 2011, per esempio, aveva iniziato ad analizzare in maniera dettagliata e metodica varie violazioni mostrando come, purtroppo, allora come oggi tantissimi utenti continuino a usare la stessa password di accesso su più servizi diversi. Al momento della violazione di un sito, gli aggressori hanno già la password per accedere agli altri account online di uno stesso utente.
Poi è arrivata la violazione subita da Adobe sui suoi server: è un po’ “il padre di tutti i data breach” come dichiarò a suo tempo lo stesso Hunt. I criminali informatici avevano infatti trafugato le credenziali di oltre 150 milioni di account utente pubblicando sul web tutti i dati. Fu allora che nacque Have I Been Pwned.
Non ci è voluto molto perché il database di Have I Been Pwned cominciasse a diventare più ricco. Presto, infatti, si susseguirono i data breach di Sony, Snapchat e Yahoo e Have I Been Pwned è presto divenuto – per ogni utente – il sito Web principe per verificare se uno o più account fossero stati coinvolti.
Hunt ha poi aggiunto i dati relativi ad altre violazioni “storiche” come quelle di MySpace, Zynga, Adult Friend Finder. Soltanto per citarne alcune.
Quando la sicurezza delle password si intreccia con i problemi legati alla privacy
Nel 2015, Hunt ha aggiunto nei suoi database le informazioni sul data breach denunciato da Ashley Madison. Fu una pagina tristissima perché dopo la pubblicazione dei dati da parte di un gruppo di criminali, si registrarono una serie di suicidi a seguito degli scandali che si ingenerarono.
In quell’occasione Hunt dovette allontanarsi dal suo approccio abituale, consapevole della delicatezza della questione. L’informatico australiano ha raccontato la storia di una persona che lo informò come una comunità locale avesse pubblicato una lista con i nomi di tutti coloro che erano stati coinvolti nel data breach di Ashley Madison.
Riferendosi a questo caso particolare, Hunt ha dichiarato: “si è chiaramente trattato di un giudizio morale e non intendo che Have I been pwned venga usato per questi scopi“. Così si è attivato per non consentire la ricerca del singolo indirizzo email tra i dati di uno specifico data breach.
Un utente ha raccontato a Hunt che il suo account era su Ashley Madison dopo una dolorosa rottura con il coniuge e che da allora si era risposato ma che in seguito è stato etichettato come adultero. Un altro ha detto di aver creato un account per cogliere in flagrante il marito, sospettato di tradimento.
La violazione di Ashely Madison ha rafforzato il punto di vista di Hunt sull’importanza di conservare il minor volume di dati possibile.
Have I been pwned separa le password dagli indirizzi email
In Have I been pwned, Hunt ha deciso di creare una netta separazione tra indirizzi email e password: è infatti disponibile anche il servizio – sempre gratuito – Pwned password che consente di cercare una propria password negli archivi per verificare se fosse entrata nelle maglie dei criminali informatici.
Gli hash delle password “violate” sono liberamente scaricabili dai server di Hunt tanto che è possibile verificare le proprie password violate o insicure anche in locale, senza far transitare nulla sulla rete Internet.
“Alcuni servizi simili sono nati nel corso del tempo ma il loro scopo era lucrare sui dati degli utenti e sono stati oggetto di provvedimenti giudiziari“, ha aggiunto Hunt che da parte sua iniziò comunque a valutare la vendita del suo servizio. L’affare, ha spiegato, non è andato in porto perché l’acquirente che si era fatto avanti e con cui aveva intessuto una lunghissima trattativa, aveva deciso di cambiare il modello di business di Have I Been Pwned. Un repentino “cambio di rotta” che rese impossibile qualunque accordo.
A posteriori Hunt ritiene di aver davvero fatto la cosa giusta seppur alleggerito di qualche centinaio di migliaia di dollari di spese legali. Have I Been Pwned continuerà a funzionare come in passato: non ci sono altre ipotesi di vendita.