Pwned Passwords, FBI: la prima fonte esterna a fornire i dati

Il ricercatore australiano sulla sicurezza, Troy Hunt, ha annunciato di aver concesso al Federal Bureau of Investigation degli Stati Uniti un filo diretto per caricare nuovi contenuti in Have I Been Pwned, un sito web che indicizza i dati dalle violazioni della sicurezza. Il creatore dell’HIBP ha affermato che quando l’FBI scoprirà raccolte di password durante le sue indagini, caricherà i dati in una sezione del sito chiamata Pwned Passwords.

FBI (Adobe Stock)
FBI (Adobe Stock)

Nel particolare l’FBI fornirà le password come hash SHA-1 e NTLM, non un testo normale. Non verranno forniti dati personali dell’utente, ma solo gli hash della password. Queste verranno aggiunte a Pwned Passwords, una raccolta di oltre 613 milioni di password trapelate.

Pwned Passwords, Bryan A. Vorndran: “E’ l’esempio di come le partnership fra pubblico e privato siano fondamentali”

DoJ (Adobe Stock)
DoJ (Adobe Stock)

Mentre la funzionale principale del sito web Have I Been Pwned consentirà agli utenti di cercare se le loro e-mail, nomi o nomi utente, sono trapelati online in precedenti violazioni della sicurezza, Pwned Passwords è un componente più piccolo, una sorta di sotto insieme specializzato di HIBP, che invece indicherà agli utenti se una stringa di password è mai stata trapelata online, senza allegare la password a nessun dato utente.

LEGGI ANCHE >>> Dal continente al satellite: su Europa potrebbero esserci forme di vita

L’idea alla base di Pwned Passwords di HIBP è che gli hacker raccolgono le password da violazioni pubbliche e creano dizionari di password, che usano per eseguire attacchi hacker o di credential stuffing, quest’ultimo consiste nel rubare le credenziali di accesso ad un portale o servizio web di un utente, attingendo da un database di contatti già precedentemente sottratti.

LEGGI ANCHE >>> Amazon lancia una super offerta su SNAPTAIN S5C 720P Drone con telecamera: meno di 60 euro

Se gli utenti riutilizzano la password da qualche altra parte o se più utenti utilizzano la stessa password, rischiano che i loro account vengano dirottati da hacker che provano password casuali (precedentemente trapelate). Sebbene la maggior parte delle persone conosca Hunt e il sito HIBP a causa della sua funzionalità di ricerca per violazione dei dati, in realtà è la funzione Pwned Passwords che si è dimostrata più utile e più ampiamente adottata, rispetto al sito web nel suo complesso.

Disponibile come ricerca pubblica, API e database scaricabile, Pwned Passwords è stato integrato in migliaia di applicazioni pubbliche e private, dove viene utilizzato per verificare se gli utenti stanno utilizzando password deboli o trapelate in precedenza e quindi richiedere agli utenti di modificare le proprie credenziali.

Diciassette paesi in tutto il mondo attualmente utilizzano Pwned Password per assicurarsi che i dipendenti del governo non utilizzino altre password, deboli, compromesse o trapelate in precedenza. Fino ad ora, il servizio utilizzava password da violazioni dei dati inviate a Hunt da ricercatori di sicurezza e informatori anonimi.

Dopo l’annuncio di Hunt, l’FBI diventa la prima fonte esterna ufficiale a fornire dati a Pwned Passwords di HIBP. “Siamo entusiasti di collaborare con HIBP su questo importante progetto per proteggere le vittime del furto di credenziali online”.

Bryan A. Vorndran, vicedirettore divisione informatica di FBI, ostenta fiducia: “Questo è un altro esempio di quanto siano importanti le partnership fra pubblico e privati nella lotta contro il crimine informatico”.

L’annuncio arriva dopo che Hunt e l’FBI hanno collaborato per la prima volta il mese scorso, quando sono state condivisi un elenco di 4,3 milioni di indirizzi e-mail raccolti dalla botnet Emotet.

Impostazioni privacy