Ist man viel im Internet unterwegs, ist es eigentlich nur eine Frage der Zeit, bis die eigenen Daten in irgendeinem großen Hack auftauchen. Immerhin wurden über die Jahre zahlreiche kleine, aber auch größere Anbieter geknackt und dabei auch die dort gespeicherten Login-Daten kopiert. Dies resultiert wiederum in gigantische Datensammlungen, die im Internet kursieren. Für die Nutzer ist das auch deswegen unerfreulich, weil sie von all diesen Vorgängen oftmals gar nichts wissen. Entsprechend hat sich der Sicherheitsforscher Troy Hunt vor einiger Zeit dazu entschlossen, ein Projekt ins Leben zu rufen, das Transparenz schaffen soll. Auf "Have I Been Pwned" kann jeder nachsehen, ob die eigenen Daten Teil eines – bekannt gewordenen – Datenlecks sind.

Datenmaterial

Dieser Service ist aber natürlich nur so gut wie die Daten, die er geliefert bekommt. Und hier bekommt der Sicherheitsforscher nun Unterstützung von unerwarteter Seite: Künftig will auch das FBI Informationen über kompromittierte Login-Daten zu "Have I Been Pwned" beitragen. Dies könnte die Nützlichkeit des Services noch einmal deutlich erweitern – kommt die US-Bundesbehörde im Rahmen der eigenen Ermittlungen doch immer wieder an Datensammlungen, die noch nicht öffentlich sind.

Zu diesem Zweck will Hunt eine fixe Schnittstelle etablieren, über die das FBI entsprechende Daten als SHA-1 / NTLM-Paar beitragen kann. Diese muss allerdings noch geschrieben werden, was den Sicherheitsexperten zum nächsten Thema überleiten lässt.

Open Source

"Have I Been Pwned" – oder, genauer, das "Pwned Passwords"-Modul hinter der Webseite – soll nämlich komplett Open Source werden. Zu diesem Zweck hat sich der bei Microsoft beschäftigte Hunt die Unterstützung der unabhängigen .Net Foundation geholt, um bei der Etablierung eines Lizenzmodells, aber auch der Schaffung eines tragfähigen Entwicklungs- und Release-Prozesses zu helfen.

Einen Zeitrahmen für all das kann der Sicherheitsexperte noch nicht nennen. Allerdings betont er, dass er sich natürlich über Unterstützung bei der Entwicklung freuen würde, vor allem in Hinblick auf die neue Schnittstelle zum Einspielen von geknackten Passwörtern in die Datenbank. Dabei gibt er auch der Hoffnung Ausdruck, dass sich später noch andere Behörden an der Datensammlung beteiligen könnten. (apo, 28.5.2021)