Leak-Datenbank "Have I Been Pwned" steht zum Verkauf
Die Website "Have I Been Pwned" ist eine beliebte Anlaufstelle für Nutzer, die wissen wollen, ob ihr Account kompromittiert ist. Nun soll sie verkauft werden.
Die populäre Leak-Datenbank „Have I been pwned“ (HIBP) soll in neue Hände gehen. Ihr Gründer, der unabhängige Sicherheitsforscher Troy Hunt, erklärte, den Dienst einfach nicht mehr als "Ein-Mann-Show“ betreiben zu können. Es brauche mehr personelle und materielle Ressourcen, um das Projekt auf neue Füße zu stellen. Deshalb habe er die Consulting-Firma KPMG mit der Suche nach einem Käufer beauftragt. Mit neuem Besitzer solle der Dienst dann künftig Project Svalbard heißen.
Derzeit können alle Interessierten auf der Website HIBP ihre E-Mail-Adresse eingeben und erhalten Auskunft, ob diese in einem Hack auftaucht, der in der Datenbank des Projekts erfasst wurde. Für Passwörter gibt es die Funktion "Pwned Passwords", die Eingaben mit geknackten Passwörtern aus der Datenbank abgleicht. Dazu hasht der Service das eingetippte Passwort lokal im Browser des Nutzers mit SHA-1 und sendet nur die ersten fünf Stellen des Hashes an den Server. Der Server liefert daraufhin eine Liste mit Passwort-Hashes zurück, die mit diesen fünf Zeichen beginnen. Hunt stellt auch ein API für eine automatisierte Abfrage bereit. Ebenfalls können Nutzer vorsorglich ihre E-Mail-Adresse angeben und Warnungen erhalten, wenn diese in einem erfassten Datenleck kompromittiert wurde.
2013 ging das Projekt an den Start und avancierte in den vergangenen Jahren zu einem wichtigen Anlaufpunkt für mutmaßliche Opfer von Leaks, aber auch für Unternehmen und Behörden. Teilweise machte die Seite auf Fälle mit mehreren Millionen Betroffenen aufmerksam, zuletzt etwa bei kompromittierten Daten von vermutlich 1,1 Millionen Nutzern der ROM-Website Emuparadise.
In einem Blogbeitrag verdeutlichte Hunt die Ausmaße, die HIBP inzwischen angenommen hat: Die Datenbank kompromittierter Accounts umfasst fast acht Milliarden Einträge, drei Millionen Nutzer haben E-Mail-Benachrichtigungen abonniert, sieben Millionen Warn-E-Mails seien verschickt worden. Dabei soll der Verkauf aber keinen Ausstieg seinerseits bedeuten – Hunt wolle weiterhin an HIBP arbeiten und den HIBP noch ausweiten. Ebenfalls soll die Seite auch mit neuem Besitzer weiterhin frei für Nutzer verfügbar sein. Erste Gespräche mit Interessenten sollen bereits stattgefunden haben. (axk)