ФБР начнет передавать скомпрометированные пароли сервису Have I Been Pwned
Трой Хант, создатель агрегатора утечек Have I Been Pwned (HIBP) сообщил в своем Твитере, что ФБР начнет напрямую загружать скомпрометированные пароли в базу данных сервиса. На текущий момент база уже содержит более 613 000 000 паролей.
Если ФБР обнаружит во время своих расследований криминальной деятельности скомпрометированные пароли, они будут загружаться в раздел Pwned Passwords в виде хэшей SHA-1 и NTLM, а не открытым текстом. Личные данные пользователей и сами пароли никто видеть не будет.
Основной сайт HIBP позволяет пользователям проверить, попадала ли их электронная почта, имя или username в какие-либо утечки данных. Раздел Pwned Passwords сообщает именно о компрометации паролей без привязки пароля к информации о пользователе.
Большинству интернет пользователей сайт HIBP знаком благодаря поиску по утекшим данных. Раздел Pwned Passwords оказался отчасти даже более полезным и функциональным, так как этот компонент доступен как простой поиск, API и загружаемая БД. Он интегрирован в множество общедоступных и частных приложений, где используется для обнаружения слабых либо ранее скомпрометированных паролей, и в случае возникновения такой ситуации пользователя простят изменить свои учетные данные. В настоящее время 17 стран мира применяют Pwned Passwords для проверки паролей своих госслужащих.
До недавнего времени данные для Pwned Passwords предоставляли только ИБ-исследователи и анонимные информаторы. ФБР стало первым официальным источником, передающим данные HIBP.
Одновременно с заключением соглашения с ФБР Хант объявил и об открытии исходного кода Pwned Passwords. В своем блоге он пишет, что это чистое совпадение, и ФБР не требовало, чтобы он открывал исходники (эксперт планировал это с августа прошлого года). Теперь исходные коды доступны на GitHub и будут переданы .NET Foundation. Хант обещает, что исходники основной части Have I Been Pwned тоже будут открыты в скором будущем, как он и планировал.