Prawie rok temu platforma śledzenia naruszeń danych Czy zostałem pwned (HIBP) announced planuje stać się projektem open source. Pierwszy krok tego przejścia został już zakończony — kod Pwned Passwords firmy HIBP jest oprogramowaniem typu open source i dostępnym na GitHub. Zmiana zapewnia przejrzystość dla HIBP i, co dziwne, otwiera drzwi dla wpłat ze strony FBI.
Usługa Have I Been Pwned śledzi naruszenia bezpieczeństwa danych i zbiera skradzione dane, umożliwiając ludziom sprawdzenie, czy ich adresy e-mail lub hasła nie zostały naruszone. Teraz, gdy HIBP korzysta z otwartego źródła swojego kodu Pwned Passwords, może przyjmować wkład od FBI i innych organizacji, które mogą mieć wgląd w naruszenia danych i działalność cyberprzestępców.
Innymi słowy, FBI nie wtrąca się w kod HIBP. Po prostu przekazuje dane do HIBP w postaci bezpiecznych par skrótów SHA-1 i NTLM (nie zwykłego tekstu). Bryan A. Vorndran, zastępca dyrektora Biura ds. Cyberbezpieczeństwa, stwierdza, że FBI jest „podekscytowane współpracą z HIBP przy tym ważnym projekcie ochrony ofiar kradzieży poświadczeń online”.
Z przyjemnością informuję, że @haveibeenpwned ‘s Pwned Passwords jest teraz open source w ramach @dotnetfdn . Teraz mamy trochę pracy: zbudowanie potoku pozyskiwania nowych haseł dostarczanych przez @FBI na bieżąco. To jest super fajne 😎 https://t.co/iM17zemmwE
— Troy Hunt (@troyhunt) 27 maja 2021
Ale po co zaczynać od kodu Pwned Passwords? Według założyciela HIBP, Troya Hunta, udostępnianie haseł Pwned z otwartym kodem źródłowym było po prostu najłatwiejszym miejscem do rozpoczęcia. Pwned Passwords jest w zasadzie niezależne od reszty HIBP z własną domeną, kontem CloudFlare i usługami Azure. Ponadto jest niekomercyjny, a jego dane są już publicznie dostępne w zestawach skrótów do pobrania.
Hunt ma nadzieję, że hasła Pwned z otwartego źródła zapewnią większą przejrzystość usługi HIBP i umożliwią ludziom pakowanie własnych narzędzi Pwned Passwords. To duża zmiana w stosunku do 2019 r., Kiedy Hunt rozważał sprzedaż HIBP.
Kod haseł Pwned można znaleźć w serwisie GitHub na licencji BSD-3-klauzula. Proces open source wciąż trwa, a Hunt prosi ludzi ze społeczności open source, aby pomogli HIBP w opracowaniu potoku pozyskiwania danych dla współpracowników, takich jak FBI.
Źródło: Czy zostałem oszukany przez ZDNet
