Lo aveva già annunciato l’ideatore, Troy Hunt, nell’agosto 2020:

La filosofia dell’HIBP è sempre stata quella di supportare la comunità, ora voglio che la comunità aiuti a supportare l’HIBP

Hunt spiega perché trasformare in open source HIBP sia la soluzione migliore: le persone che usano il sito si preoccupano sul modo in cui opera il servizio. In particolare, si chiedono spesso se le ricerche che effettuano sul sito vengano registrate per creare un nuovo elenco di indirizzi e-mail.

Le ricerche non sono registrate, ma Hunt dice che finora questa affermazione era ridotta a un semplice “Fidati di me”.

Mostrare il codice completo, invece, dimostra alle persone:

  • come vengono verificati i dati sul sito;
  • come il governo usa i dati all’interno del sito;
  • quali errori vengono commessi all’interno del sito stesso.

Inoltre, rendere HIBP open source consente ad altre persone di sostenere il progetto con la ricerca e l’implementazione di strategie per correggere gli errori.

Hunt ha quindi intrapreso una collaborazione con la .NET Foundation, l’organizzazione indipendente e senza scopo di lucro fondata nel 2014 che sostiene gli ambienti innovativi e open source intorno alla piattaforma .NET.

Contribuiscono al progetto anche Microsoft e altri Corporate Sponsor.

Il supporto della .NET Foundation è utile per questi motivi:

  1. Ha un codice base molto semplice, composto da Azure Storage, una singola funzione di Azure e un worker Cloudflare;
  2. Ha il proprio dominio, il proprio account Cloudflare e i propri servizi Azure; perciò è semplice renderlo open source in modo indipendente dal resto di HIBP.
  3. È completamente non commerciale, non ci sono costi API o servizi Enterprise come altri pezzi di HIBP;
  4. Il database di HIBP è già disponibile nel dominio pubblico grazie a set di hash che si possono scaricare.

 

Have I Been Pwned diventa open source e collabora con l’FBI

Inoltre, Hunt ha spiegato che HIBP ha continuamente bisogno di nuove password per sostituire quelle violate e per questo ha intrapreso una discussione su una possibile collaborazione con l’FBI.

Dal momento che uno degli obiettivi dell’FBI è proteggere le persone dagli account takeover, quegli account attraverso cui i criminali rubano l’identità alle persone proprio grazie alle credenziali di accesso ai servizi, per Troy Hunt è stato naturale chiedere all’agenzia governativa americana un feed delle password compromesse in Have I Been Pwned e farle uscire attraverso la funzione Pwned Passwords.

La collaborazione darebbe all’FBI l’opportunità di integrare le password in HIBP quasi un miliardo di volte al mese.

Bryan A. Vorndran, vicedirettore della divisione informatica dell’FBI ha detto:

Siamo entusiasti di collaborare con HIBP su questo importante progetto per proteggere le vittime del furto di credenziali online. È un altro esempio di quanto siano importanti le partnership pubblico/privato nella lotta alla criminalità informatica.

E proprio qui entra in gioco la collaborazione della community open source: al momento l’FBI non ha un accesso immediato in HIBP per inserire velocemente e in autonomia le password.

Hunt chiede la creazione di un’interfaccia che consenta al personale governativo di caricare velocemente i dati.

E si augura che in futuro anche le forze dell’ordine o altre organizzazioni governative che possano contribuire al progetto.

Da non perdere

Comments are closed.