Have I been pwned: Software der Leak-Datenbank wird Open Source
Die Software von „Have I been pwned“ (HIBP) soll zukünftig als Open-Source-Projekt öffentlich zugänglich gemacht werden. Das hat Projektgründer Troy Hunt in einem Blogbeitrag angekündigt. Zuvor hatte Hunt erfolglos versucht, in der Tech-Branche einen Käufer für HIBP zu finden. Hunt begründet den Schritt in Richtung Open Source damit, dass es letztlich das Vertrauen in den Dienst stärke. Außerdem würde es auch die Entwicklung des Projekts voranbringen, da er selbst längst nicht alle Ideen, die im Zusammenhang mit HIBP an ihn herangetragen werden, selbst umsetzen könne. Außerdem sei es weder für HIBP noch für ihn selbst gut, dass der Dienst so von ihm abhängig sei.
„Das ist etwas, das mir sehr am Herzen liegt; das Ziel hier ist nicht nur zu sagen ‚hey, schaut euch den Code an, er protokolliert nicht eure Suchanfragen‘, sondern es geht im Wesentlichen darum, HIBP zu einem nachhaltigeren, robusteren gemeinnützigen Dienst zu machen“, erklärt Hunt seine Entscheidung. Allerdings sei die Codebasis, die Hunt in den letzten sieben Jahren entwickelt hat, nicht in dem Zustand, dass man sie einfach bei GitHub veröffentlichen könnte. Mithilfe einiger nicht namentlich erwähnter Entwickler will Hunt die HIBP-Codebasis Stück für Stück für eine Veröffentlichung vorbereiten. Nach und nach sollen dann Teile des Codes öffentlich gemacht werden. Einen genauen Zeitplan dafür gibt es allerdings nicht.
HIBP sammelt seit Jahren gestohlene und im Netz veröffentlichte Login-Daten. Über die Website des Dienstes können Menschen überprüfen, ob ihre E-Mail-Adresse in einen dieser Leaks hinterlegt wurde. Über eine API wird der Datenfundus von HIBP mittlerweile auch von einigen Drittanbietern wie Mozilla, Cloudflare oder 1Password verwendet, um Nutzerinnen und Nutzer zu warnen, wenn ihre Login-Daten einem Datenleck zum Opfer gefallen sind.
Have I been pwned: Was passiert mit den eigentlichen Daten?
Während die Veröffentlichung der HIBP-Codebasis einigermaßen unproblematisch ist, gilt das nicht für die eigentliche Datenbank. „Es gibt keine Möglichkeit, es zu beschönigen, also werde ich es einfach unverblümt darlegen: HIBP existiert nur aufgrund einer ganzen Reihe von kriminellen Aktivitäten, die zu Daten geführt haben, die letztendlich in meinem Besitz gelandet sind“, erklärt Hunt. Daher bewege sich das Projekt nach Ansicht mehrerer Anwälte zumindest in einer juristischen Grauzone.
Und auch wenn zumindest einige der in HIBP erfassten Login-Datensätze in einschlägigen Kreisen bekannt sein dürften, handelt es sich nichtsdestotrotz um äußerst sensible persönliche Daten. „Unabhängig davon, wie weit diese Informationen im Umlauf sind, muss ich immer noch sicherstellen, dass dieselben Datenschutzkontrollen für die Leak-Daten selbst gelten, auch wenn die Code-Basis transparenter wird. Das ist nicht trivial. Machbar, aber nicht trivial.“
Ebenfalls interessant:
- Wurde mein Account gehackt? Mit diesen Websites findest du es heraus
- Ungesicherte Datenbank: Datenleck betrifft gleich 7 VPN-Anbieter
- Riesiges Datenleck in Österreich: 1 Million Adressen von Bürgern frei im Netz
Es wird interessant sein, wenn der Betreiber von „Have I been pwned“ die Codebasis veröffentlicht.
Danke für der Artikel, ich werde auf jeden Fall dieses Thema verfolgen.