Have I Been Pwned: Software-Basis der Passwort-Leak-Website wird Open-Source
Die Software der populären Passwort-Website Have I Been Pwned soll bald Open-Source werden. Das soll das Projekt zuverlässiger und vertrauenswürdiger machen.
- Merlin Schumacher
Der Microsoft-Mitarbeiter Troy Hunt will die Software seiner Passwort-Leck-Sammlung Have I Been Pwned als Open-Source veröffentlichen. Bislang hatte er die Software als Closed-Source-Projekt alleine entwickelt. Hunt hat sich zu dem Schritt entschlossen, nachdem ein Verkauf der Seite im März 2020 gescheitert war.
Have I Been Pwnd (HIBP) bietet einen kostenlosen Dienst zur Überprüfung von geleakten Zugangsdaten. Dazu muss man lediglich seine E-Mail-Adresse angeben und bekommt bei Treffern eine Liste von Leaks, in denen die Adresse aufgetaucht ist. Hunt hatte die Idee für die Seite im Jahr 2013 auf einer Flugreise. In der Datenbank der Seite liegen inzwischen über 10 Milliarden Einträge.
Troy Hunt will mit der Veröffentlichung die Verantwortung für HIBP auf viele Schultern verteilen. Er trage seit sieben Jahren die alleinige Verantwortung für die Seite und deren Technik. Das sei nicht gut für die Seite und nicht gut für ihn, stellt er in einem Blogpost klar.
Er selbst sei ein häufiger Nutzer von Open-Source-Software und hofft, dass durch die Veröffentlichung mehr Unternehmen und Entwickler von dem Dienst profitieren und ihn besser machen. Außerdem müsste man Hunt bisher vertrauen, dass er zum Beispiel die E-Mails und Passwörter, die Menschen auf der Seite eintippen, nicht speichert. Wenn die Seite komplett offen ist, kann jeder sehen, wie der Dienst arbeitet.
Passwörter werden nicht veröffentlicht
Hunt hat bei der Entwicklung an vielen Stellen geschlampt und einige Abkürzungen gewählt. Deshalb kann er die Seite noch nicht sofort veröffentlichen. Im Code liegen vermutlich auch noch einige Daten, wie etwa Zugriffsschlüssel, die da nicht hingehören. Er arbeitet jetzt mit einigen vertrauenswürdigen Helfern daran, den Code aufzuräumen, um ihn dann freizugeben. Die Freigabe wird Stück für Stück geschehen. Wann genau es losgeht, ist Hunt noch nicht klar. Er will so weit gehen, dass auch die gesamte Infrastruktur der Seite öffentlich ist, damit jeder das Projekt fortführen kann, auch wenn er dazu nicht in der Lage ist. Aufhören will Hunt jedoch keinesfalls mit HIBP.
Die Veröffentlichung der 10 Milliarden Datensätze in der Datenbank ist ein schwieriges Thema. Zum einen sind alle Daten durch kriminelle Vorgänge an die Öffentlichkeit gelangt und zum anderen sind es private Daten von Milliarden Menschen. Inklusive Hunts eigenen. Rechtlich bewege er sich in einer Grauzone. Zwar zirkulieren die meisten dieser Leaks im Netz, aber er will trotzdem sicherstellen, dass eine Kontrolle der Privatsphäre möglich ist. (mls)