Troy Hunt, creatore di “Have I Been Pwned” oltre a essere Microsoft Regional Director e MVP, aveva già pre-annunciato lo scorso anno l’intenzione di rendere open source il code base del noto sito che consente agli utenti di verificare se la propria email o numero telefonico sono stati compromessi in un data breach.
Di recente l’esperto di Information Security ha condiviso diverse novità importanti relative a Have I Been Pwned.
La prima è che il suo progetto ha ora effettivamente avviato il percorso di transizione open source, con il supporto della .NET Foundation, un’organizzazione indipendente e senza scopo di lucro fondata nel 2014 per sostenere un ecosistema innovativo, commercialmente “friendly” e open source intorno alla piattaforma .NET, con il contributo di Microsoft e di altri Corporate Sponsor.
Rendere Have I Been Pwned open source non era un task facile né banale, ha spiegato Troy Hunt, che però era convinto che fosse la cosa giusta da fare per la longevità del progetto.
Sono molti i motivi che rendono difficile prendere qualcosa che per anni è stato gestito come un progetto personale e spostarlo nel pubblico dominio.
È necessaria una certa esperienza nel gestire un progetto open source, sapere come stabilire il modello di licenza, coordinare dove la community debba investire gli sforzi, prendere i contributi, riprogettare il processo di rilascio e altro ancora.
Ed è qui che è entrata in gioco la .NET Foundation.
Dopo aver annunciato l’intenzione passare all’open source, prosegue il racconto di Troy Hunt, la direttrice esecutiva di .NET Foundation Claire Novotny lo ha contattato e gli ha offerto il supporto della fondazione, iniziando così il passaggio al nuovo corso.
Il supporto della .NET Foundation per la conversione open source è utile per le caratteristiche del progetto e il lavoro è iniziato con Pwned Passwords per una serie di motivi, anche tecnici, ha sottolineato Hunt.
Perché ha una code base molto semplice che consiste in Azure Storage, una singola Azure Function e un worker Cloudflare. Ha il suo dominio, il suo account Cloudflare e i suoi servizi Azure, quindi può essere facilmente reso open source indipendentemente dal resto di Have I Been Pwned.
Inoltre, è interamente non commerciale, senza costi API o servizi enterprise come altre parti di Have I Been Pwned e i dati alla base di Pwned Passwords sono già liberamente disponibili nel pubblico dominio attraverso i set di hash scaricabili.
Per questi motivi, era possibile effettuare per molti versi un semplice “lift and shift” per migrare Pwned Passwords nell’open source.
Inoltre, Pwned Passwords è ora una parte importante di molti servizi online e questa mossa assicura che chiunque possa eseguire la propria istanza di Pwned Passwords, se lo desidera.
Ma ciò di cui Pwned Passwords ha davvero bisogno per avere successo, ha poi messo in evidenza Troy Hunt, sono nuove password man mano che vengono compromesse. Ed è qui che entra in gioco la seconda importante novità, che riguarda l’FBI.
L’FBI e Troy Hunt hanno avviato un confronto sulla possibilità che l’agenzia governativa statunitense potesse fornire un feed delle password compromesse in Have I Been Pwned e farle emergere attraverso la funzione Pwned Passwords.
L’obiettivo comune dell’FBI e del fondatore del sito è quello di proteggere le persone dagli account takeover avvertendole in modo proattivo quando la loro password è stata compromessa.
Integrare queste password in Have I Been Pwned dà all’FBI l’opportunità di farlo quasi un miliardo di volte al mese, ha sottolineato Troy Hunt.
