Vor fast einem Jahr kündigte die Plattform zur Verfolgung von Datenschutzverletzungen Have I Been Pwned (HIBP) Pläne an, ein Open-Source-Projekt zu werden. Der erste Schritt in diesem Übergang ist jetzt abgeschlossen – der Pwned Passwords-Code von HIBP ist Open Source und auf GitHub verfügbar. Die Änderung schafft Transparenz für HIBP und öffnet seltsamerweise die Tür zu Beiträgen des FBI.
Have I Been Pwned verfolgt Datenschutzverletzungen und sammelt gestohlene Daten, sodass Benutzer überprüfen können, ob ihre E-Mail-Adressen oder Passwörter kompromittiert wurden. Jetzt, da HIBP seinen Pwned Passwords-Code als Open Source bereitstellt, kann es Beiträge vom FBI und anderen Organisationen annehmen, die möglicherweise Einblick in Datenschutzverletzungen und cyberkriminelle Aktivitäten haben.
Mit anderen Worten, das FBI mischt sich nicht in den Kodex der HIBP ein. Es gibt nur Daten an HIBP in Form von sicheren SHA-1- und NTLM-Hash-Paaren (kein Klartext). Bryan A. Vorndran, stellvertretender Direktor der Cyber-Abteilung des FBI, erklärt, dass das FBI „begeistert ist, bei diesem wichtigen Projekt zum Schutz der Opfer von Online-Anmeldeinformationsdiebstahl mit HIBP zusammenzuarbeiten“.
Aber warum mit dem Pwned Passwords-Code beginnen? Laut HIBP-Gründer Troy Hunt war das Open-Sourcing von Pwned Passwords nur der einfachste Einstieg. Pwned Passwords ist mit seiner eigenen Domäne, seinem CloudFlare-Konto und seinen Azure-Diensten grundsätzlich unabhängig vom Rest von HIBP. Außerdem ist es nicht kommerziell und seine Daten sind der Öffentlichkeit bereits in herunterladbaren Hash-Sets verfügbar.
Hunt hofft, dass Open-Source-Pwned-Passwörter für mehr Transparenz beim HIBP-Dienst sorgen und es den Benutzern ermöglichen, ihre eigenen Pwned-Passwords-Tools zu verpacken. Das ist eine große Veränderung gegenüber 2019, als Hunt den Verkauf von HIBP erwog.
Sie finden den Pwned Passwords-Code auf GitHub, der unter der BSD-3-Klausel lizenziert ist. Der Open-Source-Prozess ist noch im Gange, und Hunt bittet Leute in der Open-Source-Community, HIBP bei der Entwicklung einer Aufnahmepipeline für Mitwirkende wie das FBI zu unterstützen.
Quelle: Have I Been Pwned via ZDNet