查看原文
其他

HIBP 网站的Pwned Passwords组件代码开源,且直接收录 FBI 提供的数据

Catalin Cimpanu 代码卫士 2022-06-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士


澳大利亚安全研究员 Troy Hunt 宣布称,将使美国联邦调查局(FBI)直接向 Have I Been Pwned (HIBP) 网站上传新内容。

Hunt 表示,当FBI 在调查过程中发现密码集时,将直接把这些数据上传到该网站的 Pwned Passwords 部分。FBI 将以 SHA-1和 NTLM 哈希的形式而非明文形式提供密码。FBI 将不会提供用户的个人详情,而只是提供密码哈希。密码将被添加至 Pwned Passwords,后者拥有超过6.13亿被泄露的密码。

虽然HIBP 主站允许用户搜素自己的邮件、姓名或用户名是否已被攻陷,但 Pwned Passwords 规模更小且是 HIBP 站点更加特别的组件,可告知用户某密码字符串是否已被泄露到网站,而无需将密码附加到任何用户详情中。

Pwned Passwords 组件的意图是,黑客可从公开事件中收集密码并密码目录,从而执行暴力攻击或凭证填充攻击。如果用户在别的地方复用了密码或者多名用户使用了同样的密码,则这些用户的账户可能会遭劫持。

虽然多数人因为数据泄露搜素功能而认识了 Hunt 和 HIBP 站点,但实际上,Pwned Passwords 才是更有利用价值且采用更为广泛的功能。

Pwned Passwords 组件是一个公开搜素引擎、API 和可下载的数据库,已被集成到数千款公开和私有应用程序中,用于检查用户是否使用了薄弱的或之前被泄露的密码,之后提示用户更改凭证。

目前全球已有17个国家使用 Pwned Passwords 确保政府员工不会使用薄弱的或此前已被泄露的密码。FBI 是首个向 HIBP Pwned Passwords 提供数据的官方外部来源。

FBI 网络部的助理主任 Bryan A. Vorndran 指出,“我们很高兴和 HIBP 在这个重要项目上合作,共同保护受害者免受在线凭证窃取风险。这个案例再次说明了在对抗网络犯罪活动过程中公私合作伙伴关系的重要性。”

上个月,FBI 与 HIBP 共享了收集自 Emotet 僵尸网络的430万份邮件地址。


Pwned Passwords 组件开源


在HIBP 和 FBI 达成合作关系的消息发布当天,Hunt 开源了 Pwned Passwords 组件代码。

Hunt 在博客文章中指出,这两则消息在同一天发布纯属巧合,FBI 并未要求 Hunt 开源 HIBP 代码,实际上自己早在2020年8月就已经开始探索开源的模式。

源代码已发布在 GitHub,将由 .NET Foundation 负责维护。Hunt 表示,HIBP 数据泄露的主要指数也将在未来开源。





推荐阅读
FBI紧急警告:黑客利用开源SonarQube实例窃取政府和企业源代码
FBI 和 NSA 披露俄罗斯国家黑客使用的 Linux 恶意软件
FBI 连续第三次发布关于国家黑客利用 Kwampirs 发动全球供应链攻击的警告
啊喂,FBI!人都帮你抓到了,为啥要过河拆桥?




原文链接

https://therecord.media/the-fbi-will-feed-hacked-passwords-directly-into-have-i-been-pwned/


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存