Datenlecks: FBI will Passwörter an Have I Been Pwned weitergeben

Entdeckt das FBI bei seinen Ermittlungen kompromittierte Zugangsdaten, will es diese in Zukunft an den Dienst Have I Been Pwned (HIBP) übergeben. Dort können Internetnutzer überprüfen, ob ihre E-Mail-Adressen, Telefonnummern oder Passwörter in verschiedenen Datenlecks enthalten sind. Die Plattform soll zudem Open Source werden, wie HIBP-Betreiber Troy Hunt in einem Blogeintrag ankündigte.

Bereits im April hatte das FBI 4,3 Millionen Zugangsdaten an Have I Been Pwned übergeben. Die E-Mail-Adressen mitsamt den dazugehörigen Passwörtern hatten die Ermittler beim Zerschlagen des Malware-Netzwerks Emotet beschlagnahmt. Über Have I Been Pwned konnten Internetnutzer anschließend prüfen, ob sie betroffen sind.

Im Rahmen seiner Ermittlungen beschlagnahmt das FBI immer wieder Sammlungen von Zugangsdaten, die es in Zukunft über Have I Been Pwned zugänglich machen möchte, damit Betroffene gewarnt werden können. Die Passwörter sollen dabei nicht im Klartext, sondern in SHA-1- und NTLM-Hash-Paaren weitergegeben werden. Das passe perfekt zur aktuellen Speicherkonstruktion von HIBP, erklärt Hunt.

Ziel sei es, die Betroffenen vor Kontoübernahmen zu schützen, indem sie proaktiv gewarnt werden, wenn ihr Passwort kompromittiert wurde. "Das Einspeisen dieser Passwörter in HIBP gibt dem FBI die Möglichkeit, dies jeden Monat fast 1 Milliarde Mal zu tun", schreibt Hunt.

"Wir freuen uns, mit HIBP bei diesem wichtigen Projekt zusammenzuarbeiten, um die Opfer von Online-Datendiebstahl zu schützen. Es ist ein weiteres Beispiel dafür, wie wichtig öffentlich-private Partnerschaften im Kampf gegen Internetkriminalität sind", sagte Bryan A. Vorndran, stellvertretender Direktor der Cyber Division des FBI.

Code von Have I Been Pwned auf Github

Schon im August hatte Hunt angekündigt, den Code der Plattform unter einer Open-Source-Lizenz veröffentlichen zu wollen. Das sei jedoch komplizierter gewesen als gedacht, schreibt Hunt. "Ich hatte keine Ahnung, wie man ein Open-Source-Projekt verwaltet, das Lizenzmodell festlegt, koordiniert, wo die Community Aufwand investiert, Beiträge annimmt, den Release-Prozess neu gestaltet und alle möglichen anderen Dinge, an die ich sicher noch gar nicht gedacht habe."

An dieser Stelle habe ihm die .Net-Stiftung unter die Arme gegriffen, die Antworten auf all seine Fragen hätten. Die unabhängige Non-Profit-Organisation wird von Microsoft unterstützt und soll Open-Source-Projekte im .Net-Umfeld unterstützen. Ein Teil des Codes von Have I Been Pwned wurde bereits unter einer BSD-Lizenz auf Github veröffentlicht.