Quasi un anno fa, la piattaforma di monitoraggio della violazione dei dati Have I Been Pwned (HIBP) annunciato prevede di diventare un progetto open source. Il primo passo in questa transizione è ora completo: il codice Pwned Passwords di HIBP è open source e disponibile su GitHub. Il cambiamento fornisce trasparenza per l’HIBP e, stranamente, apre le porte ai contributi dell’FBI.
Have I Been Pwned tiene traccia delle violazioni dei dati e raccoglie i dati rubati, consentendo alle persone di verificare se i propri indirizzi e-mail o password sono stati compromessi. Ora che HIBP ha reso pubblico il suo codice Pwned Passwords, può accettare contributi dall’FBI e da altre organizzazioni che potrebbero avere informazioni su violazioni dei dati e attività dei criminali informatici.
In altre parole, l’FBI non si intromette nel codice dell’HIBP. Sta solo fornendo dati a HIBP sotto forma di coppie di hash SHA-1 e NTLM sicure (non in chiaro). Bryan A. Vorndran, vicedirettore della Cyber Division del Bureau, afferma che l’FBI è”entusiasta di collaborare con HIBP su questo importante progetto per proteggere le vittime del furto di credenziali online”.
Sono molto felice di annunciare che @haveibeenpwned‘s Pwned Passwords è ora open source sotto @dotnetfdn. Ora abbiamo del lavoro da fare: costruire una pipeline di importazione per nuove password fornite da @FBI su un base continuativa. È fantastico 😎 https://t.co/iM17zemmwE
— Troy Hunt (@troyhunt) 27 maggio 2021
Ma perché iniziare con il codice Pwned Passwords? Secondo il fondatore di HIBP Troy Hunt, l’open source Pwned Passwords era solo il punto di partenza più semplice. Pwned Passwords è sostanzialmente indipendente dal resto di HIBP con il proprio dominio, account CloudFlare e servizi Azure. Inoltre, non è commerciale e i suoi dati sono già disponibili al pubblico in set di hash scaricabili.
Hunt spera che Pwned Passwords open source fornisca una maggiore trasparenza per il servizio HIBP e consenta alle persone di avvolgere i propri strumenti Pwned Passwords. È un grande cambiamento rispetto al 2019, quando Hunt ha preso in considerazione la vendita HIBP.
Puoi trovare il codice Pwned Passwords su GitHub concesso in licenza sotto Clausola BSD-3. Il processo di open source è ancora in corso e Hunt chiede alle persone della comunità open source di aiutare HIBP a sviluppare una pipeline di acquisizione per collaboratori come l’FBI.
Fonte: sono stato scoperto tramite ZDNet