Have I been pwned è il noto servizio che permette di verificare se le proprie credenziali di accesso siano state sottratte nell’ambito di qualche attacco informatico sferrato nei confronti dei vari servizi online.
Della storia di Have I been pwned e del suo funzionamento abbiamo già parlato in passato e proprio in questi giorni l’ideatore Troy Hunt ha osservato di aver praticamente raggiunto un traguardo storico: un miliardo di richieste di verifica di nomi utente e password nel corso di un solo mese.
Digitando l’indirizzo corrispondente a un account (o un numero di telefono; molte app usano questo dato per l’autenticazione…) nella casella di ricerca di Have I been pwned si può subito sapere se tale informazione sia stata rinvenuta in qualche incidente legato alla sicurezza informatica che ha interessato vari fornitori di servizi online.
Contemporaneamente viene offerta anche la pagine Pwned Passwords che usa un approccio diverso: anziché digitare un nome utente (indirizzo email) o un numero di telefono si può scrivere direttamente una delle proprie password.
Il servizio non registrerà la richiesta e non memorizzerà la password inserita: semplicemente la trasformerà usando le principali funzioni di hashing e controllerà se tale password (in formato hased) è presente nel database degli incidenti verificatisi in passato.
Se l’hash della password fosse contenuto nel database di Pwned Passwords significa che essa è già nota ai criminali informatici.
Il problema di Have I been pwned e di Pwned Passwords è che i dati raccolti provengono dalle raccolte che gli aggressori spesso condividono in rete o pubblicano su forum legati al mercato nero dei dati altrui. I due servizi non possono ovviamente avere alcuna visibilità sulle password sottratte come conseguenza di attacchi molto specifici o se le informazioni acquisite dai malintenzionati non vengono in qualche modo diffuse.
L’FBI statunitense ha confermato il supporto dell’iniziativa Pwned Passwords promettendo di condividere e caricare sul servizio tutte le password (in formato hashed) raccolte dagli aggressori e venute a galla in seguite alle indagini di tecnici e investigatori.
È un’iniziativa importante perché permetterà di estendere la base dati di Have I been pwned e soprattutto garantire agli utenti una copertura molto più ampia, ben oltre gli incidenti di più vasta scala.
Le Autorità per la protezione dei dati personali europee vietano espressamente l’utilizzo dei dati pubblicati in rete in seguito ad attacchi informatici. In realtà, proprio per tutelare chi gli attacchi li ha subiti (ad esempio coloro che hanno attivato un account presso un provider aggredito da terzi) sarebbe utile prevedere un’importante eccezione per le iniziative come Have I been pwned che gestiscono i dati in maniera responsabile offrendo validi strumenti per mettere in sicurezza i propri account.
Grazie a Pwned Passwords è addirittura possibile scaricare l’archivio delle password nelle mani dei criminali informatici per effettuarvi ricerche in locale elaborazioni ed elaborazioni automatizzate. Come detto, usando Pwned Passwords non si otterrà la lista delle password in chiaro ma i corrispondenti hash SHA1/NTLM, nella stessa forma che userà FBI per condividere le password con Have I been pwned.
Hunt ha anche annunciato che Pwned Passwords diventa opensource esortando la comunità ad affinare il funzionamento delle API per il caricamento automatico delle password e il confronto con i propri hash.