De database en bijhorende website van "Have I Been Pwned" ken je wellicht wel. Daar kan je namelijk, door je e-mailadres in te vullen in het zoekvak, controleren of jouw adres voorkomt in de database waarin alle informatie verzameld is van adressenlijsten die ooit gehackt zijn, zoals Yahoo, LinkedIn en meer.
Deze database werd tot nu toe onderhouden door één persoon, beveiligingswetenschapper Troy Hunt. Maar die vond dat hij als individu niet langer verantwoordelijk kon zijn hiervoor, en maakte plannen om ofwel de database te verkopen of zichzelf er los van te maken. In augustus 2020 besloot hij uiteindelijk om de database volledig open source te maken, en de community het beheer ervan toe te vertrouwen.
Dat is inmiddels gebeurd; de code voor het opzoeken is nu open source, en kan je op GitHub vinden. Er werden voldoende veiligheidsmaatregelen getroffen omte zorgen dat de data veilig blijven: zo woerden de wachtwoorden nooit in platte tekst bewaard in de database.
Je kan trouwens opzoeken of een bepaald wachtwoord dat jij gebruikt (hebt) in de database voorkomt. Ook daarbij wordt het wachtwoord tijdens de zoekactie in een versleutelde vorm doorgegeven naar de database, zodat de zoekactie volkomen beveiligd is. Je krijgt dan als antwoord enkel het aantal keren dat dit wachtwoord in de gekraakte lijsten voorkomt, je ziet dus niet op welke websites - ook weer een extra beveiliging.
Verleden week heeft het FBI deze database trouwens nog verrijkt: het zal ook zijn data toevoegen die het gevonden heeft tijdens zijn onderzoeken. Hierover meer bij ZDNet.
https://www.zdnet.com/article/have-i-been-pwned-goes-open-so ...
https://github.com/HaveIBeenPwned
|