Майже рік тому платформа відстеження злому даних Have I Been Pwned (HIBP) оголосила про плани стати проектом з відкритим кодом. Перший крок у цьому переході завершено — код Pwned Passwords HIBP є відкритим вихідним кодом і доступний на GitHub. Зміна забезпечує прозорість для HIBP і, як не дивно, відкриває двері для внесків ФБР.
Have I Been Pwned відстежує порушення даних і збирає вкрадені дані, дозволяючи людям перевірити, чи не були зламані їхні адреси електронної пошти або паролі. Тепер, коли HIBP відкриває свій код Pwned Passwords з відкритим кодом, він може приймати внески від ФБР та інших організацій, які можуть мати уявлення про порушення даних та кіберзлочинну діяльність.
Іншими словами, ФБР не втручається в код HIBP. Це просто передача даних у HIBP у вигляді безпечних пар хешів SHA-1 і NTLM (не відкритого тексту). Браян А. Ворндран, помічник директора кібервідділу Бюро, стверджує, що ФБР «радіє співпрацювати з HIBP у цьому важливому проекті із захисту жертв онлайн-викрадення облікових даних».
Але чому почати з коду Pwned Passwords? За словами засновника HIBP Троя Ханта, Pwned Passwords із відкритим кодом було найпростішим для початку. Pwned Passwords в основному не залежить від решти HIBP із власним доменом, обліковим записом CloudFlare та службами Azure. Крім того, він некомерційний, і його дані вже доступні для громадськості в завантажуваних наборах хешів.
Хант сподівається, що Pwned Passwords з відкритим кодом забезпечить більшу прозорість для служби HIBP і дозволить людям створювати власні інструменти Pwned Passwords. Це велика зміна з 2019 року, коли Хант розглядав можливість продажу HIBP.
Код паролів Pwned можна знайти на GitHub, ліцензований відповідно до пункту BSD-3. Процес відкритого коду все ще триває, і Хант просить людей із спільноти відкритих кодів допомогти HIBP розробити канал прийому для таких учасників, як ФБР.
Джерело: Have I Been Pwned через ZDNet