Have I Been Pwned: Zusammenarbeit mit FBI – und Open-Source-Veröffentlichung

Das Passwort-Leak-Projekt Have I Been Pwned bekommt dauerhaft Hilfe vom FBI, das eigene Funde beisteuern will. Und der Code wird nun Open Source-Software.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 48 Beiträge
Von
  • Tilman Wittenhorst

Das freie Projekt zum Prüfen geleakter Zugangsdaten Have I Been Pwned bekommt nun erhebliche Unterstützung durch den US-amerikanischen Geheimdienst FBI: Die Behörde wird dem Projekt geleakte Daten aus ihrem eigenen Bestand bereitstellen. Außerdem soll der Quellcode des HIBP-Dienstes als Open-Source-Software zugänglich werden. Das schreibt der Projektbetreiber Troy Hunt auf seinem Blog.

Hunt habe mit dem FBI über Möglichkeiten der weiteren Zusammenarbeit gesprochen, schreibt er in seinem Blogbeitrag. Dabei sei vereinbart worden, dass die Behörde geleakte Passwörter aus ihren eigenen Ermittlungen in das HIBP-Projekt einfließen lassen wird. Erst im April hatte das FBI im Zuge der Zerschlagung des Trojaners Emotet über 4 Millionen E-Mail-Adressen an Hunt übermittelt, die in HIBP übernommen wurden. Bei der neuen Zusammenarbeit sollen Anmeldedaten aus FBI-Beständen in die Pwned Passwords-Funktion des Dienstes einfließen, wobei die Daten möglichst aktuell sein sollen, damit eventuell Betroffene nach Bekanntwerden eines Leaks rasch prüfen können, ob sie ihre Passwörter ändern sollten.

Außerdem hat Hunt damit begonnen, die Code-Basis des Dienstes als Open-Source-Software freizugeben. Diesen Schritt hatte er bereits im vergangenen August angekündigt. Allerdings hatte Hunt wohl den Aufwand unterschätzt, sein Ein-Mann-Projekt für eine Community von Entwicklern bereitzustellen und den Code von Überbleibseln zu befreien. Dabei habe er Unterstützung von der .NET Foundation erhalten, wie er schreibt, einer von Microsoft unterstützten Non-Profit-Organisation.

Die ersten beiden Komponenten des HIBP-Codes sind mittlerweile bei GitHub veröffentlicht: die Repositorys Azure Function und Cloudflare Worker. Mit ihnen lässt sich ein Endpunkt für Pwned Passwords implementieren, der paarweise gehashte Passwörter (mit SHA-1 und NTLM) entgegennimmt und in einer Datenbank speichert. Diese Teile des Codes gehören zur Zusammenarbeit mit dem FBI, das auf diesem Weg seine Funde an HIBP übermitteln will.

Have I Been Pwned ist ein inzwischen sehr bekanntes Projekt, das offen verfügbare, geleakte Anmeldedaten sammelt und in einer Datenbank speichert. Zu einer E-Mail-Adresse oder einem Passwort zeigt HIBP an, ob sie in einem Leak aufgetaucht sind. In besonders heiklen Fällen wird diese Information nur an den Empfänger der jeweiligen E-Mail-Adresse zugestellt und nicht offen auf der Website des Projekts mitgeteilt. Die Datenbank ist mittlerweile enorm angewachsen: über 11 Milliarden Einträge lassen sich durchsuchen, bei Pwned Passwords sind es über 613 Millionen Datensätze. Auch die Zugriffe wachsen enorm an: Bei Pwned Passwords nähern sich die Abfragen der Milliarden-Marke in einem Monat, wie Hunt bei Twitter mitteilt.

Der Security-Experte und Microsoft-Mitarbeiter Hunt sucht zudem Freiwillige, die an der Weiterentwicklung von HIBP mithelfen wollen – auch deshalb veröffentlicht er den Code als Open-Source-Software. Die in der Datenbank enthaltenen Informationen sind oder waren alle einmal offen im Internet zugänglich, stammen jedoch zumeist aus strafbaren Aktivitäten. Deshalb bewegt sich das HIBP-Projekt auf einer rechtlich heiklen Grundlage und Hunt möchte die Verantwortung dafür auf mehrere Personen verteilen. Außerdem sieht er den Schritt zum Offenlegen des Codes als Werben um Vertrauen, dass HIBP verantwortungsvoll mit den Daten umgeht.

(tiw)