Die Software von „Have I been pwned“ (HIBP) soll zukünftig als Open-Source-Projekt öffentlich zugänglich gemacht werden. Das hat Projektgründer Troy Hunt in einem Blogbeitrag angekündigt. Zuvor hatte Hunt erfolglos versucht, in der Tech-Branche einen Käufer für HIBP zu finden. Hunt begründet den Schritt in Richtung Open Source damit, dass es letztlich das Vertrauen in den Dienst stärke. Außerdem würde es auch die Entwicklung des Projekts voranbringen, da er selbst längst nicht alle Ideen, die im Zusammenhang mit HIBP an ihn herangetragen werden, selbst umsetzen könne. Außerdem sei es weder für HIBP noch für ihn selbst gut, dass der Dienst so von ihm abhängig sei.
„Das ist etwas, das mir sehr am Herzen liegt; das Ziel hier ist nicht nur zu sagen ‚hey, schaut euch den Code an, er protokolliert nicht eure Suchanfragen‘, sondern es geht im Wesentlichen darum, HIBP zu einem nachhaltigeren, robusteren gemeinnützigen Dienst zu machen“, erklärt Hunt seine Entscheidung. Allerdings sei die Codebasis, die Hunt in den letzten sieben Jahren entwickelt hat, nicht in dem Zustand, dass man sie einfach bei GitHub veröffentlichen könnte. Mithilfe einiger nicht namentlich erwähnter Entwickler will Hunt die HIBP-Codebasis Stück für Stück für eine Veröffentlichung vorbereiten. Nach und nach sollen dann Teile des Codes öffentlich gemacht werden. Einen genauen Zeitplan dafür gibt es allerdings nicht.
HIBP sammelt seit Jahren gestohlene und im Netz veröffentlichte Login-Daten. Über die Website des Dienstes können Menschen überprüfen, ob ihre E-Mail-Adresse in einen dieser Leaks hinterlegt wurde. Über eine API wird der Datenfundus von HIBP mittlerweile auch von einigen Drittanbietern wie Mozilla, Cloudflare oder 1Password verwendet, um Nutzerinnen und Nutzer zu warnen, wenn ihre Login-Daten einem Datenleck zum Opfer gefallen sind.
Have I been pwned: Was passiert mit den eigentlichen Daten?
Während die Veröffentlichung der HIBP-Codebasis einigermaßen unproblematisch ist, gilt das nicht für die eigentliche Datenbank. „Es gibt keine Möglichkeit, es zu beschönigen, also werde ich es einfach unverblümt darlegen: HIBP existiert nur aufgrund einer ganzen Reihe von kriminellen Aktivitäten, die zu Daten geführt haben, die letztendlich in meinem Besitz gelandet sind“, erklärt Hunt. Daher bewege sich das Projekt nach Ansicht mehrerer Anwälte zumindest in einer juristischen Grauzone.
Und auch wenn zumindest einige der in HIBP erfassten Login-Datensätze in einschlägigen Kreisen bekannt sein dürften, handelt es sich nichtsdestotrotz um äußerst sensible persönliche Daten. „Unabhängig davon, wie weit diese Informationen im Umlauf sind, muss ich immer noch sicherstellen, dass dieselben Datenschutzkontrollen für die Leak-Daten selbst gelten, auch wenn die Code-Basis transparenter wird. Das ist nicht trivial. Machbar, aber nicht trivial.“
Ebenfalls interessant:
- Wurde mein Account gehackt? Mit diesen Websites findest du es heraus
- Ungesicherte Datenbank: Datenleck betrifft gleich 7 VPN-Anbieter
- Riesiges Datenleck in Österreich: 1 Million Adressen von Bürgern frei im Netz
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Es wird interessant sein, wenn der Betreiber von „Have I been pwned“ die Codebasis veröffentlicht.
Danke für der Artikel, ich werde auf jeden Fall dieses Thema verfolgen.