Have I Been Pwned es una base de datos que le permite a cualquier cibernauta verificar si su correo electrónico o teléfono ha sido víctima de alguna falla de seguridad y alguien que no debería ahora conoce sus contraseñas.
A pesar del carácter burlón de su nombre es un sitio confiable. Fue creado en 2013 por Troy Hunt, un reconocido experto en seguridad informática quien es también director regional para Microsoft.
HIBP recibe aproximadamente mil millones de consultas por mes. Muchas consultoras de seguridad lo cuentan entre sus recursos.
Dos importantes novedades se han producido en relación a este recurso. La primera su paso a un sistema de código abierto, y la segunda el acceso a una base de datos del FBI.
I’m very happy to announce that @haveibeenpwned’s Pwned Passwords is now open source under the @dotnetfdn. Now we’ve got some work to do: building an ingestion pipeline for new passwords provided by the @FBI on an ongoing basis. This is super cool 😎 https://t.co/iM17zemmwE
— Troy Hunt (@troyhunt) May 27, 2021
Código abierto
Hunt había prometido liberar el código del sitio en Agosto de 2020 luego de que fallara un intento de venta. El programador había señalado que el funcionamiento de la herramienta dependía exclusivamente de su dedicación, lo que suponía que si por alguna razón no podía prestarle su atención el sitio iba a dejar de existir.
Pasar el proyecto a un esquema de código abierto implica transmitir la propiedad a la comunidad de usuarios.
El cambio no es sencillo, por lo que Hunt ha recurrido a la fundación .Net para que se encargue de la tarea.
FBI
El primer proyecto de código abierto para la herramienta será desarrollar una funcionalidad que permitirá el ingreso de credenciales identificadas por el FBI como vulneradas. Los datos los ingresarán los agentes de la agencia a medida que el organismo haga pública la información de sus investigaciones.
Para el FBI existe un beneficio directo en informar a las empresas, organismos y la población en general cuando su seguridad está en riesgo. El hecho de que el proyecto sea de código abierto podría ayudar a aliviar la desconfianza que muchos sienten apenas se menciona una agencia de seguridad estatal.