Datenlecks: FBI will Passwörter an Have I Been Pwned weitergeben

Gemeinsam mit dem Dienst Have I Been Pwned (HIBP) warnt das FBI Betroffene vor Datenlecks. Zudem wurde der HIBP-Code auf Github veröffentlicht.

Artikel veröffentlicht am ,
FBI und Have I Been Pwned (HIBP) arbeiten zusammen.
FBI und Have I Been Pwned (HIBP) arbeiten zusammen. (Bild: Gerd Altmann/Pixabay)

Entdeckt das FBI bei seinen Ermittlungen kompromittierte Zugangsdaten, will es diese in Zukunft an den Dienst Have I Been Pwned (HIBP) übergeben. Dort können Internetnutzer überprüfen, ob ihre E-Mail-Adressen, Telefonnummern oder Passwörter in verschiedenen Datenlecks enthalten sind. Die Plattform soll zudem Open Source werden, wie HIBP-Betreiber Troy Hunt in einem Blogeintrag ankündigte.

Stellenmarkt
  1. IT-Administrator/IT-Kaufmann (m/w/d)
    Elektrizitätswerk Mittelbaden AG & Co. KG, Lahr
  2. Software Engineer (m/w/d) im Bereich Application Integration / Integrationsarchitektur Dell Boomi/IDS
    Hannover Rück SE, Hannover
Detailsuche

Bereits im April hatte das FBI 4,3 Millionen Zugangsdaten an Have I Been Pwned übergeben. Die E-Mail-Adressen mitsamt den dazugehörigen Passwörtern hatten die Ermittler beim Zerschlagen des Malware-Netzwerks Emotet beschlagnahmt. Über Have I Been Pwned konnten Internetnutzer anschließend prüfen, ob sie betroffen sind.

Im Rahmen seiner Ermittlungen beschlagnahmt das FBI immer wieder Sammlungen von Zugangsdaten, die es in Zukunft über Have I Been Pwned zugänglich machen möchte, damit Betroffene gewarnt werden können. Die Passwörter sollen dabei nicht im Klartext, sondern in SHA-1- und NTLM-Hash-Paaren weitergegeben werden. Das passe perfekt zur aktuellen Speicherkonstruktion von HIBP, erklärt Hunt.

Ziel sei es, die Betroffenen vor Kontoübernahmen zu schützen, indem sie proaktiv gewarnt werden, wenn ihr Passwort kompromittiert wurde. "Das Einspeisen dieser Passwörter in HIBP gibt dem FBI die Möglichkeit, dies jeden Monat fast 1 Milliarde Mal zu tun", schreibt Hunt.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26. - 28. Oktober 2021, online
Weitere IT-Trainings

"Wir freuen uns, mit HIBP bei diesem wichtigen Projekt zusammenzuarbeiten, um die Opfer von Online-Datendiebstahl zu schützen. Es ist ein weiteres Beispiel dafür, wie wichtig öffentlich-private Partnerschaften im Kampf gegen Internetkriminalität sind", sagte Bryan A. Vorndran, stellvertretender Direktor der Cyber Division des FBI.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Code von Have I Been Pwned auf Github

Schon im August hatte Hunt angekündigt, den Code der Plattform unter einer Open-Source-Lizenz veröffentlichen zu wollen. Das sei jedoch komplizierter gewesen als gedacht, schreibt Hunt. "Ich hatte keine Ahnung, wie man ein Open-Source-Projekt verwaltet, das Lizenzmodell festlegt, koordiniert, wo die Community Aufwand investiert, Beiträge annimmt, den Release-Prozess neu gestaltet und alle möglichen anderen Dinge, an die ich sicher noch gar nicht gedacht habe."

An dieser Stelle habe ihm die .Net-Stiftung unter die Arme gegriffen, die Antworten auf all seine Fragen hätten. Die unabhängige Non-Profit-Organisation wird von Microsoft unterstützt und soll Open-Source-Projekte im .Net-Umfeld unterstützen. Ein Teil des Codes von Have I Been Pwned wurde bereits unter einer BSD-Lizenz auf Github veröffentlicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ubisoft
Avatar statt Assassin's Creed

E3 2021 Als wichtigste Neuheit hat Ubisoft ein Spiel auf Basis von Avatar vorgestellt - und Assassin's Creed muss mit Valhalla in die Verlängerung.

Ubisoft: Avatar statt Assassin's Creed
Artikel
  1. Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
    Fifa, Battlefield und Co.
    Der EA-Hack startete mit Cookies für 10 US-Dollar

    Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

  2. Extraction: Rainbow Six und der Kampf gegen Außerirdische
    Extraction
    Rainbow Six und der Kampf gegen Außerirdische

    E3 2021 Es ist ein ungewöhnlicher Ableger für Siege: Ubisoft hat Rainbow Six Extraction vorgestellt, das auf den Kampf gegen KI-Aliens setzt.

  3. Onlinetickets: 17-Jähriger betrügt Bahn um 270.000 Euro
    Onlinetickets
    17-Jähriger betrügt Bahn um 270.000 Euro

    Mit illegal erworbenen Onlinetickets soll ein 17-Jähriger die Bahn um 270.000 Euro geprellt haben. Entdeckt wurde er nur durch Zufall.

dummzeuch 01. Jun 2021 / Themenstart

Ich sage nicht, dass der Betreiber der Webseite die Passworte logt, sondern dass ein...

dummzeuch 01. Jun 2021 / Themenstart

Ob das so eine tolle Idee ist, sein Password auf irgendeiner Webseite einzugeben? Selbst...

/mecki78 31. Mai 2021 / Themenstart

... nachdem sie eine permanente Backdoor auf den betroffenen Systemen installiert haben...

Kommentieren


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Corsair Hydro H80i V2 RGB 73,50€ • Apple iPad 10.2 389€ • Razer Book 13 1.158,13€ • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ [Werbung]
    •  /