da Hardware Upgrade :
Il sito web Have I Been Pwned (che di seguito abbrevieremo, per comodit, in HIBP), creato e gestito dal ricercatore di sicurezza Troy Hunt, uno dei principali punti di riferimento sul web per verificare l’eventuale compromissione di password o nomi utente che siano risultati violati nel contesto di gravi incidenti di sicurezza.
Hunt, che tra l’altro ricopre anche il ruolo di Regional Director per Microsoft, ha annunciato di rendere il sito web open source in maniera tale da dare modo anche ad altri di contribuire al progetto e rendere cos pi facile individuare credenziali compromesse. L’intenzione di aprire il progetto a terzi era gi stata annunciata lo scorso anno dal ricercatore.
Im very happy to announce that @haveibeenpwneds Pwned Passwords is now open source under the @dotnetfdn. Now weve got some work to do: building an ingestion pipeline for new passwords provided by the @FBI on an ongoing basis. This is super cool 😎 https://t.co/iM17zemmwE
— Troy Hunt (@troyhunt) May 27, 2021
Il primo passo di questo “nuovo corso” trasformare in open-source il modulo di ricerca password, operazione che verr condotta con la collaborazione di .NET Foundation. Questa pagina consente di verficare se una delle password in nostro possesso fa parte di una furto di dati dovuto ad incidenti di sicurezza come quelli di Yahoo e Adobe avvenuti negli anni passati, o anche di incidenti minori. Hunt ha sottolineato che le informazioni usate per questo servizio sono recuperate da set di dati hash disponibili pubblicamente.
Rendendo open-source questo progetto viene quindi offerta la possibilit ad app e servizi terzi, in primis i gestori di password, di integrare API di verifica e segnalare se una password scelta per la creazione di un nuovo account sia gi stata compromessa in leak passati.
Hunt ha poi annunciato una collaborazione con l’FBI che permetter di ampliare il database di HIBP. Il sito web potr infatti accedere a nuove password non appena si verificano episodi di violazione, a seconda di ci su cui le autorit federali stanno indagando. E’ stato l’FBI, sottolinea Hunt, a richiedere la possibilit di collaborare allo scopo di inserire nel database le password compromesse nel pi breve tempo possibile. Le autorit federali, del resto, si occupano di ogni genere di indagine su crimini che coinvolgono la sfera digitale, tra botnet, ransomware, terrorismo e via discorrendo. Le password compromesse che l’FBI individua nel corso delle sue indagini sono spesso sfruttate da gruppi criminali: da qui l’indubbia utilit della possibilit di aggiungerle rapidamente al database di HIBP.
La decisione di rendere open-source il progetto legata anche a questa collaborazione con l’FBI, in quanto Hunt sta ora chiedendo aiuto agli sviluppatori che vogliano contribuire per realizzare un sistema di importazione dei dati che consenta di recuperare le password messe a disposizione dalle autorit federali.
Getting closer and closer to the 1B requests a month mark for @haveibeenpwned‘s Pwned Passwords. 99.6% of those have come direct from @Cloudflare‘s cache too 😎 pic.twitter.com/zRRbkhT27P
— Troy Hunt (@troyhunt) May 27, 2021
Nei giorni scorsi Hunt ha evidenziato che il sisto web HIBP sta avvicinandosi all’impressionante traguardo di 1 miliardo di richieste mensili per la verifica di password e nomi utente.