Have I Been Pwned devient Open Source ; Partenaires avec le FBI

Les informations d’identification compromises constituent de graves menaces pour la sécurité des organisations et des individus. Les attaquants utilisent souvent des mots de passe volés/fuits dans des attaques par force brute pour compromettre les comptes d’utilisateurs. La plupart des victimes utilisent le site Web de recherche de violation de données Have I Been Pwned? (HIBP) pour vérifier si leur identifiant de messagerie ou leur numéro de téléphone a été compromis dans une violation de données. Créé par le consultant en sécurité Web Troy Hunt, HIBP indexe toutes les violations de données – les plus importantes et les plus récentes – une fois qu’un utilisateur a saisi les détails requis.

Récemment, Troy Hunt a annoncé que HIBP permettait désormais au FBI de télécharger du nouveau contenu dans sa base de données. Avec cela, le FBI peut fournir des mots de passe compromis, qui sont trouvés lors d’enquêtes policières, dans la section, Mot de passe associé. Les mots de passe seront fournis dans des paires de hachage SHA-1 et NTLM.

« Le FBI joue un rôle essentiel dans la lutte contre tout, des logiciels de rançon à la maltraitance des enfants en passant par le terrorisme, et au cours de ses enquêtes, il rencontre régulièrement des mots de passe compromis. Souvent, ces mots de passe sont utilisés par des entreprises criminelles pour exploiter les actifs en ligne des personnes qui les ont créés. Ne serait-il pas formidable si nous pouvions faire quelque chose de significatif pour lutter contre cela ? » dit Hunt.

Je suis très heureux d’annoncer que @haveibeenpwned‘s Pwned Passwords est maintenant open source sous le @dotnetfdn. Nous avons maintenant du travail à faire : créer un pipeline d’ingestion pour les nouveaux mots de passe fournis par le @FBI sur une base continue. C’est super cool 😎 https://t.co/iM17zemmwE

– Chasse à Troie (@troyhunt) 27 mai 2021

Hunt a déclaré que la dernière alliance supprime un énorme obstacle pour de nombreuses organisations envisageant d’utiliser des mots de passe Pwned.

« Nous sommes ravis de nous associer à HIBP sur cet important projet visant à protéger les victimes de vol d’identifiants en ligne. C’est un autre exemple de l’importance des partenariats public/privé dans la lutte contre la cybercriminalité », a déclaré Bryan A. Vorndran, directeur adjoint, Cyber ​​Division, FBI.

HIBP passe à l’open source

Hunt a également rendu Password Pwned open source via la fondation .NET pour accélérer le nouveau partenariat avec le FBI. La société a également demandé aux développeurs d’aider à créer une API d’ingestion de mot de passe pour aider le FBI et d’autres organismes chargés de l’application des lois à intégrer les mots de passe compromis dans la base de données Password Pwned.

«Les gens de la Fondation .NET m’ont aidé avec le premier et les gens de Cloudflare avec le second. Ils continueront à apporter leur soutien au fur et à mesure que les contributions de la communauté arrivent et que le projet évolue pour atteindre les objectifs ci-dessus, en soutenant à nouveau le FBI avec leurs objectifs. Exécuter un projet open source est tout nouveau pour moi et j’apprécie énormément les contributions déjà apportées par ceux mentionnés ci-dessus. Soyez avec moi alors que je navigue à ma façon dans ce processus et un grand merci d’avance à tous ceux qui décident de contribuer et de soutenir cette initiative à l’avenir », a ajouté Hunt.