Το FBI θα αρχίσει να μοιράζεται παραβιασμένους κωδικούς πρόσβασης που βρίσκει σε έρευνες, με την υπηρεσία “Pwned Passwords” του site Have I Been Pwned.
Δείτε επίσης: Have I Been Pwned: Δείτε αν έχει παραβιαστεί ο Facebook λογαριασμός σας
Το Have I Been Pwned επιτρέπει στους χρήστες να ελέγχουν αν έχουν παραβιαστεί οι κωδικοί πρόσβασής τους.
Χρησιμοποιώντας αυτήν την υπηρεσία, ένας χρήστης μπορεί να εισαγάγει έναν κωδικό πρόσβασης και να δει πόσες φορές αυτός ο κωδικός εντοπίστηκε σε παραβίαση δεδομένων. Για παράδειγμα, εάν κάποιος ελέγξει τον κωδικό πρόσβασης “password”, η υπηρεσία θα δείξει ότι αυτός ο κωδικός έχει παρατηρηθεί 3.861.493 φορές σε παραβιάσεις δεδομένων.
Τώρα, ο δημιουργός του Have Powned, Troy Hunt, ανακοίνωσε ότι το FBI θα χρησιμοποιεί την υπηρεσία, ελέγχοντας κωδικούς πρόσβασης που έχουν βρει οι αρχές επιβολής του νόμου στις έρευνές τους.
Δείτε επίσης: FBI: Συνδέει το Conti ransomware με 16 επιθέσεις σε σημαντικούς οργανισμούς των ΗΠΑ
Το FBI θα επιτρέπει στους διαχειριστές και τους χρήστες να ελέγχουν για κωδικούς πρόσβασης που είναι γνωστό ότι χρησιμοποιούνται για κακόβουλους σκοπούς. Οι διαχειριστές μπορούν στη συνέχεια να αλλάξουν τους κωδικούς πρόσβασης προτού χρησιμοποιηθούν σε credential stuffing επιθέσεις και παραβιάσεις δικτύου.
“Είμαστε ενθουσιασμένοι που συνεργαζόμαστε με το HIBP σε αυτό το σημαντικό έργο για την προστασία των θυμάτων online κλοπής credentials. Είναι άλλο ένα παράδειγμα του πόσο σημαντικές είναι οι συνεργασίες για την καταπολέμηση του εγκλήματος στον κυβερνοχώρο“, είπε ο Bryan A. Vorndran από το FBI.
Το FBI θα μοιραστεί τους κωδικούς πρόσβασης ως SHA-1 και NTLM hash ζεύγη.
Δείτε επίσης: FBI: Τεράστια αύξηση στις καταγγελίες για κυβερνοεγκλήματα τους τελευταίους 14 μήνες
Η υπηρεσία Password Pwned επιτρέπει στους χρήστες να κατεβάζουν τους παραβιασμένους κωδικούς πρόσβασης ως λίστες SHA-1 ή NTLM hashed passwords που μπορούν να χρησιμοποιηθούν offline από τους διαχειριστές των Windows για να ελέγξουν εάν χρησιμοποιούνται στο δίκτυό τους.
Για να διευκολύνει αυτή τη νέα συνεργασία, ο Hunt έκανε το Have I Have Pwned open source μέσω του .NET Foundation και ζητά από άλλους προγραμματιστές να βοηθήσουν στη δημιουργία ενός API “Password Ingestion”.
Το FBI και άλλες υπηρεσίες επιβολής του νόμου μπορούν να χρησιμοποιήσουν αυτό το API για να βάλουν παραβιασμένους κωδικούς πρόσβασης στη βάση δεδομένων Password Pwned.
Πηγή: Bleeping Computer