Have I Been Pwned diventa open-source! Sarà ancora più facile verificare le password compromesse

Il sito web Have I Been Pwned (che di seguito abbrevieremo, per comodità, in HIBP), creato e gestito dal ricercatore di sicurezza Troy Hunt, è uno dei principali punti di riferimento sul web per verificare l'eventuale compromissione di password o nomi utente che siano risultati violati nel contesto di gravi incidenti di sicurezza.

Hunt, che tra l'altro ricopre anche il ruolo di Regional Director per Microsoft, ha annunciato di rendere il sito web open source in maniera tale da dare modo anche ad altri di contribuire al progetto e rendere così più facile individuare credenziali compromesse. L'intenzione di aprire il progetto a terzi era già stata annunciata lo scorso anno dal ricercatore.

Il primo passo di questo "nuovo corso" è trasformare in open-source il modulo di ricerca password, operazione che verrà condotta con la collaborazione di .NET Foundation. Questa pagina consente di verficare se una delle password in nostro possesso fa parte di una furto di dati dovuto ad incidenti di sicurezza come quelli di Yahoo e Adobe avvenuti negli anni passati, o anche di incidenti minori. Hunt ha sottolineato che le informazioni usate per questo servizio sono recuperate da set di dati hash disponibili pubblicamente.

Rendendo open-source questo progetto viene quindi offerta la possibilità ad app e servizi terzi, in primis i gestori di password, di integrare API di verifica e segnalare se una password scelta per la creazione di un nuovo account sia già stata compromessa in leak passati.

Hunt ha poi annunciato una collaborazione con l'FBI che permetterà di ampliare il database di HIBP. Il sito web potrà infatti accedere a nuove password non appena si verificano episodi di violazione, a seconda di ciò su cui le autorità federali stanno indagando. E' stato l'FBI, sottolinea Hunt, a richiedere la possibilità di collaborare allo scopo di inserire nel database le password compromesse nel più breve tempo possibile. Le autorità federali, del resto, si occupano di ogni genere di indagine su crimini che coinvolgono la sfera digitale, tra botnet, ransomware, terrorismo e via discorrendo. Le password compromesse che l'FBI individua nel corso delle sue indagini sono spesso sfruttate da gruppi criminali: da qui l'indubbia utilità della possibilità di aggiungerle rapidamente al database di HIBP.

La decisione di rendere open-source il progetto è legata anche a questa collaborazione con l'FBI, in quanto Hunt sta ora chiedendo aiuto agli sviluppatori che vogliano contribuire per realizzare un sistema di importazione dei dati che consenta di recuperare le password messe a disposizione dalle autorità federali.

Nei giorni scorsi Hunt ha evidenziato che il sisto web HIBP sta avvicinandosi all'impressionante traguardo di 1 miliardo di richieste mensili per la verifica di password e nomi utente.