Il ricercatore di sicurezza Troy Hunt ha comunicato che la sezione Pwned Passwords del suo sito Have I Been Pwned è diventata open source, grazie all’aiuto della .NET Foundation. Contestualmente è stata annunciata una partnership con l’FBI per consentire agli utenti di verificare rapidamente se la loro password è finita nelle mani di qualche cybercriminale.
Have I Been Pwned: open source e FBI
Sul sito Have I Been Pwned è possibile verificare se i propri dati personali (email, password e numero di telefono) sono stati sottratti durante un accesso non autorizzato ai vari servizi online oppure recuperati tramite la diffusa tecnica dello scraping, come accaduto per Facebook. Troy Hunt ha comunicato che la sezione Pwned Password ha quasi raggiunto un miliardo di richieste al mese.
Getting closer and closer to the 1B requests a month mark for @haveibeenpwned's Pwned Passwords. 99.6% of those have come direct from @Cloudflare's cache too ? pic.twitter.com/zRRbkhT27P
— Troy Hunt (@troyhunt) May 27, 2021
Non conoscendo nulla di progetti open source, Hunt ha chiesto aiuto alla .NET Foundation, un’organizzazione non-profit indipendente. La scelta è stata ovvia, in quanto Pwned Passwords sfrutta i servizi Azure, oltre al worker Cloudflare che gestisce il traffico HTTP. Il codice sorgente è ora disponibile su GitHub e chiunque può creare un’istanza per la ricerca delle password rubate.
Rimaneva solo un problema da risolvere, ovvero l’aggiornamento del database. Hunt ha quindi chiesto e ottenuto l’aiuto dell’FBI (che già aveva usato il servizio per consentire la ricerca delle email rubate dalla botnet Emotet). I tecnici del bureau inseriranno le password individuate durante le future indagini.
Su GitHub è presente un terzo repository che contiene il file .stl per la stampa in 3D del logo Have I Been Pwned visibile nell’immagine all’inizio dell’articolo.
Ti potrebbe interessare
28 mag 2021