Pwnedのパスワードプログラムはオープンソースになり、FBIからのデータを受け入れます

1年近く前、データ漏えい追跡プラットフォーム Have I been Pwned （HIBP）発表は、オープンソースプロジェクトになる計画です。これで、移行の最初のステップが完了しました。HIBPのPwned Passwordsコードはオープンソースであり、 GitHub で入手できます。この変更により、HIBPに透明性がもたらされ、奇妙なことに、FBIからの貢献への扉が開かれます。

Have I been Pwnedは、データ侵害を追跡し、盗まれたデータを収集して、電子メールアドレスやパスワードが侵害されていないかどうかを確認できるようにします。 HIBPはPwnedPasswordsコードをオープンソース化しているため、データ侵害やサイバー犯罪活動について洞察を持っている可能性のあるFBIやその他の組織からの投稿を受け入れることができます。

言い換えれば、FBIはHIBPのコードに干渉していません。これは、安全なSHA-1とNTLMハッシュペア（プレーンテキストではない）の形式でHIBPにデータを提供するだけです。局のサイバー部門のアシスタントディレクターであるブライアンA.ヴォンドラン氏は、FBIは「オンラインの資格情報の盗難の被害者を保護するために、この重要なプロジェクトでHIBPと提携することに興奮しています」と述べています。

@haveibeenpwned を発表できてとてもうれしいです。 ■PwnedPasswordsは、 @dotnetfdn の下でオープンソースになりました。これで、やるべきことがいくつかあります。 @FBI によって提供された新しいパスワードの取り込みパイプラインを構築する継続的。これはとてもクールです😎 https://t.co/iM17zemmwE

—トロイハント（@troyhunt） 2021年5月27日

しかし、なぜPwnedPasswordsコードから始めるのですか？ HIBPの創設者であるTroyHuntによると、オープンソースのPwnedPasswordsは開始するのに最も簡単な場所でした。 Pwned Passwordsは基本的に、独自のドメイン、CloudFlareアカウント、およびAzureサービスを備えたHIBPの他の部分から独立しています。さらに、非営利であり、そのデータはダウンロード可能なハッシュセットですでに一般に公開されています。

Huntは、オープンソースのPwned PasswordsがHIBPサービスの透明性を高め、人々が独自のPwnedPasswordsツールをラップできるようになることを望んでいます。これは、ハントが販売を検討した HIBP。

Pwned Passwordsコードは、で見つけることができます。 BSD-3-Clause”> BSD-3条項。オープンソースプロセスはまだ進行中であり、ハントはオープンソースコミュニティの人々に、HIBPがFBIのような貢献者のための取り込みパイプラインを開発するのを支援するよう求めています。

出典： ZDNet