Britse politie geeft Have I Been Pwned 226 miljoen nieuwe wachtwoorden – IT Pro – Nieuws

De National Cyber Crime Unit, onderdeel van de Britse National Crime Agency, heeft bijna 586 miljoen wachtwoorden met Have I Been Pwned gedeeld. Hiervan waren er bijna 226 miljoen nieuw voor HIBP. Daarnaast kan de FBI nu direct wachtwoorden invoeren in HIBP’s database.

De NCCU heeft tijdens een onderzoek naar criminele activiteiten miljoenen wachtwoorden gevonden op een onbenoemde, Britse cloudopslagdienst. Deze wachtwoorden waren gekoppeld aan e-mailadressen en waren een verzameling van ‘bekende en onbekende datasets’. Wie deze data op de cloudopslagdienst plaatste, is onbekend. Wel kon deze data benaderd worden door criminelen om bijvoorbeeld fraude te plegen.

Omdat de wachtwoorden niet van één slachtoffer, platform of bedrijf waren, koos de NCCU ervoor om deze te delen met de website Have I Been Pwned, zodat zoveel mogelijk slachtoffers van de diefstal op de hoogte gehouden konden worden. Het ging om een bestand met 585.570.857 wachtwoorden; terwijl er op dat moment in de Pwned Passwords-dienst 613 miljoen wachtwoorden stonden. Bij die 586 miljoen wachtwoorden, waren er 225.665.425 uniek voor Have I Been Pwned. Die zijn nu dan ook opgenomen in de Pwned Passwords-database.

Deze wachtwoorden zijn nu onder meer beschikbaar in de Pwned Passwords-api, die andere organisaties ook kunnen gebruiken om te implementeren in hun diensten. Zo kunnen websites de api bijvoorbeeld toevoegen aan een aanmeldformulier, zodat de websitehouder kan voorkomen dat een gebruiker een eerder uitgelekt wachtwoord hergebruikt.

Troy Hunt, beheerder van HIBP, maakt ook bekend dat de eerder aangekondigde koppeling tussen de FBI en deze api inmiddels is afgerond. Wanneer de FBI nu wachtwoorden vindt, kunnen deze direct in de api worden geïmporteerd. Deze ingestion pipeline is opensource ontwikkeld. Hunt wil dat de gehele codebase van Have I Been Pwned opensource wordt.