Have I Been Pwned: 225 Millionen neue Passwörter von britischer Polizeibehörde
Der Datensatz des Passwort-Prüfdiensts wächst immer weiter. Für Strafverfolgungsbehörden gibt es nun einen Weg, sichergestellte Daten direkt einzuspeisen.
(Bild: Song_about_summer/Shutterstock.com)
Die Nationale Kriminalbehörde Großbritanniens NCA (National Crime Agency) hat eine Datenbank mit fast 600 Millionen sichergestellten Passwörtern an das Projekt Have I Been Pwned gegeben, über 225 Millionen waren dort nicht in der Datenbank. Das hat der Projektverantwortliche Troy Hunt auf seinem Blog bekannt gegeben. Wer den Dienst nutzt, kann also nun auch herausfinden, ob eigene Zugangsdaten in diesem neuen Datensatz enthalten sind. Der lag demnach auf einem kompromittierten Cloud-Server und sei keiner Plattform zuzuordnen gewesen. Zu den neuen Passwörtern, die dadurch Einzug hielten, gehören demnach "flamingo228", "Alexei2005", "91177700", "123Tests" und "aganesq".
"Pipeline" für Behörden
Have I Been Pwned hat darüber hinaus jetzt auch eine bereits angekündigte Schnittstelle, über die Strafverfolgungsbehörden solche Datensätzen schneller an das Projekt geben können. Für diese Erweiterung hat Hunt mit der US-Bundespolizei FBI zusammengearbeitet. Dafür hat er das System in eine Open-Source-Software umgewandelt und den Quellcode verfügbar gemacht. Hunt hatte im Frühjahr damit begonnen, nachdem er den Schritt bereits vergangenes Jahr angekündigt hatte. Den Aufwand hatte er aber unterschätzt und war dann von der .NET Foundation unterstützt worden, einer von Microsoft unterstützten Non-Profit-Organisation. Dank der neuen Kooperation kann das Projekt nun viel schneller aktualisiert werden, wenn ein Leak bekannt wird und erbeutete Datensätze öffentlich werden.
Hunt hatte seinen Passwort-Prüfdienst Ende 2013 eröffnet, inspiriert durch einen immensen Hack bei Adobe. Seitdem ist sie eine immer beliebter gewordene Anlaufstelle für Internetnutzer, die erfahren wollen, ob ihre Zugangsdaten im Zuge eines Hacks kompromittiert wurden. Dazu bindet Hunt verfügbar gewordene Datenbanken ein. Interessierte können dann prüfen, ob es für ihre E-Mail-Adresse darin einen Treffer gibt. Hunt stellt zusätzlich eine API für eine automatisierte Abfrage bereit. 2019 hatte Hunt angekündigt, den Dienst verkaufen zu wollen, dann aber grundsätzlichen Zweifel an dem Plan bekommen. Aus dem Verkauf wurde nichts und Have I Been Pwned soll auf absehbare Zeit hin unabhängig bleiben.
(mho)
