Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 31 Maggio 2021 14:02
Troy Hunt, creatore e operatore del noto sito “Have I Been Pwned” (HIBP), afferma che d’ora in poi l’FBI caricherà direttamente le password compromesse nel database del servizio, che contiene già oltre 613 milioni di password.
Questo vuol dire che se l’FBI scopre password compromesse durante le sue indagini, queste vengono caricate nella sezione Password compromesse. Le forze dell’ordine forniranno le password sotto forma di hash SHA-1 e NTLM e non in testo chiaro. Cioè, nessuno vedrà i dati personali degli utenti.
Mentre il sito HIBP principale consente agli utenti di verificare se la propria e-mail, nome o nome utente è stato coinvolto in eventuali violazioni dei dati, la sezione “Pwned Passwords”, riporterà specificamente le password compromesse, senza collegare la password a nessuna informazione dell’utente.
Sebbene la maggior parte delle persone abbia familiarità con il sito HIBP proprio a causa della ricerca di dati compromessi, la sezione Password Pwned è ancora più utile e funzionale.
Il punto è che il componente Pwned Passwords è disponibile come semplice ricerca, API e database scaricabile. È integrato in migliaia di applicazioni pubbliche e private, dove viene utilizzato per identificare password deboli o precedentemente compromesse e, in caso di problemi, l’utente sarà autorizzato a modificare le proprie credenziali. Ad esempio, attualmente 17 paesi in tutto il mondo utilizzano le password Pwned per controllare le password dei dipendenti pubblici.
Tuttavia, fino a poco tempo fa, solo i ricercatori sulla sicurezza delle informazioni e gli informatori anonimi fornivano i dati delle password. L’FBI è ora la prima fonte ufficiale a rilasciare dati per questa sezione dell’HIBP.
Contemporaneamente alla conclusione della partnership con l’FBI, Hunt ha annunciato l’apertura del codice sorgente di Pwned Passwords. Nel suo blog, Hunt scrive che questa è una pura coincidenza e che l’FBI non gli ha richiesto di aprire la fonte (l’esperto lo aveva infatti pianificato dall’agosto dello scorso anno). Il codice sorgente è ora disponibile su GitHub e verrà caricato su .NET Foundation. Hunt promette che anche le fonti per la parte principale di Have I Been Pwned verranno rilasciate nel prossimo futuro, come aveva pianificato.
Fonte
https://xakep.ru/2021/05/28/hibp-fbi/
RedazioneUna vulnerabilità zero-day nel driver Windows Cloud Files Mini Filter (cldflt.sys) è attualmente oggetto di sfruttamento attivo. Microsoft ha provveduto al rilascio di aggiornamenti di sicurezza urg...
Una vulnerabilità critica, monitorata con il codice CVE-2025-59719, riguarda le linee di prodotti FortiOS, FortiWeb, FortiProxy e FortiSwitchManager è stata segnalata da Fortinet tramite un avviso d...
Secondo un rapporto pubblicato di recente dal Financial Crimes Enforcement Network (FinCEN), l’attività globale del ransomware ha raggiunto il picco nel 2023, per poi crollare nel 2024. Questo calo...
Siamo connessi, connessi a tutto, iperconnessi. La nostra vita professionale e sociale è scandita da deadline strettissime e da un’asticella che viene continuamente alzata, dobbiamo spingere. Ci im...
Il Centro Congressi Frentani ospiterà il 12 dicembre la conferenza “Cybercrime, Artificial Intelligence & Digital Forensics”, l’evento annuale organizzato da IISFA – Associazione Italiana...
