FBI face un bine societății: ce se întâmplă cu parolele ”sparte” de acum înainte
FBI face un bine societății, astfel că începând de ieri, Troy Hunt, un cercetător australian în domeniul securității, a anunțat că a acordat instituției o linie dreaptă pentru a încărca parolele ”sparte” în Have I Been Pwned.
Have I Been Pwned este un site web care indexează datele din încălcările în domeniul securității cibernetice. Creatorul site-ului a afirmat că atunci când FBI descoperă aceste parole expuse în timpul investigațiilor lor, vor putea încărca datele într-o secțiune a site-ului denumită Pwned Passwords.
Parolele vor fi furnizate de către FBI în formatul de hash SHA-1 și NTLM și nu într-un text simplu. Totodată, nu vor fi furnizate și detaliile personale ale utilizatorului și doar hash-ul parolei. În cadrul secțiunii Pwned Passwords urmează a fi adăugată o colecție de peste 613 milioane de parole expuse.
Site-ul HIBP permite utilizatorilor să caute și să afle dacă e-mail-urile sau numele de utilizator au fost compromise în anumite încălcări ale securității. Pwned Passwords reprezintă o secțiune mai mică a site-ului, care va informa utilizatorii dacă un anumit șir de parole a fost expus online, însă fără a atașa parola la detaliile utilizatorului.
La baza acesti idei stă faptul că hackerii colectează parolele din expunerile publice pe care le folosesc ulterior în scopul de a crea dicționare de parole, pe care le folosesc ulterior pentru a efectua atacuri de tip brute-force sau credential stuffing. În cazul în care utilizatorii au reutilizat parola în altă parte și mai mulți utilizatori au folosit aceeași parolă, atunci aceștia risc să aibă conturile compromise de către hackeri care încearcă parolele în mod aleatoriu.
Foarte multe persoane cunosc Hunt și site-ul HIBP datorită funcționalității sale de căutare de expunere a datelor, în realitate, funcția Pwned Passwords s-a dovedit a fi una utilă și larg adoptată. Pwned Passowords este disponibil ca o bază de căutare în mod public, API și bază de date descărcabilă.
Această componentă Pwned Passwords a fost integrată în mii de aplicații publice și private, unde este utilizată pentru a verifica dacă utilizatorii foloesesc parole slabe sau scurse anterior și apoi le solicită utilizatorilor să își schimbe credențialele, pentru o securitate mai sporită.
FBI devine prima sursă externă oficială care furnizează parolele sparte
În prezent, șaptesprezece țări din întreaga lume folosesc Pwned Passwords pentru a se asigura că angajații guvernamentali nu folosesc parole slabe sau care au fost ulterior expuse. Până la momentul actual, serviciul folosea parole expuse din datele trimise de către Hunt către cercetătorii de securitate cibernetică dar și de către anonimi. Astfel, FBI devine prima sursă externă oficială care furnizează date către Pwned Passwords.
„Suntem încântați să colaborăm cu HIBP pentru acest proiect important de protejare a victimelor furtului de acreditări online. Este un alt exemplu al importanței parteneriatelor publice / private în lupta împotriva criminalității informatice ”, a declarat Bryan A. Vorndran, asistent director, Divizia Cibernetică, FBI.
Acest pas vine la o lună distanță după ce Hunt și FBI au colaborat, instituția distribuind o listă de 4,3 milioane de adrese de e-mail colectate de pe botnet-ul Emotet. Anunțul că HIBP a colaborat cu FBI a venit în aceeași zi în care Hunt a dezvăluit codul open-source HIBP. Totodată, într-o postare pe blog, Hunt a spus că cele două anunțuri a fost o pură coincidență și că FBI nu a cerut HIBP să facă acest lucru.
Codul, disponibil pe GitHub, va fi păstrat de Fundația .NET, iar Hunt a spus că open-source-ul pentru principalul indice de încălcare a datelor HIBP va fi, de asemenea, deschis în viitor.