Have I Been Pwned (HIBP) är en webbplats där användare kan mata in sin e-postadress för att ta reda på om uppgifter från användarkonton kopplade till det förekommit i några dataintrång eller på annat vis äventyrats. Under 2020 bestämde sig skaparen till webbplatsen, Troy Hunt, att trygga dess framtid genom att låta projektet få öppen källkod.
Som komplement till HIBP finns även "Pwnd Passwords", som fungerar på samma vis men istället matar användaren in ett lösenord. Det projektet har nu fått en ny samarbetspartner – amerikanska federala polismyndigheten, även känt som FBI. Enligt Hunt var det FBI själva som tog initiativet och kontaktade honom angående att öppna upp för ett samarbete.
We are excited to be partnering with HIBP on this important project to protect victims of online credential theft. It is another example of how important public/private partnerships are in the fight against cybercrime. - Bryan A. Vorndran, FBI:s byråchef för IT-relaterade brott
Tanken är att FBI ska kunna mata HIBP:s databas med sina listor över kapade lösenord. Hunt beskriver att FBI i sitt arbete ofta får tillgång till kapade lösenord, särskilt sådana som används av kriminella nätverk för att utnyttja dess skapare. Han är positiv till samarbetet och hoppas kunna göra något meningsfullt för att motverka problemet med kapade lösenord.
The passwords will be provided in SHA-1 and NTLM hash pairs which aligns perfectly to the current storage constructs in Pwned Passwords (I don't need them in plain text). They'll be fed into the system as they're made available by the bureau and obviously that's both a cadence and a volume which will fluctuate depending on the nature of the investigations they're involved in – Troy Hunt, grundare till Have I Been Pwnd
Hunt förklarar vidare att lösenord inte lagras i klartext och att de ska föras in i systemet så fort FBI gör dem tillgängliga, men att det kan handla om varierande mängd och takt beroende på myndighetens arbetsbörda.
