Have I Been Pwned (HIBP) a permis aux forces de l’ordre de partager plus facilement des données compromises, à commencer par plus de 225 millions de mots de passe de la National Crime Agency (NCA) du Royaume-Uni.
Pour les inconnus : HIBP est une plate-forme dédiée à aider les gens à savoir si leurs données personnelles ont été publiées quelque part sur le dark web. De cette façon, si quelqu’un a effectivement été condamné, il peut prendre des mesures – changer son mot de passe, remplacer sa carte de crédit, etc. – plutôt que de ne pas savoir que quelqu’un a volé ses données personnelles.
La possibilité de rechercher des données potentiellement compromises rendrait HIBP suffisamment utile. Mais il fournit également une API appelée Pwned Passwords que les entreprises utilisent pour vérifier la base de données des informations volées de la plate-forme. Cela permet aux gens de rester informés sans aucun effort de leur part, et un nouveau pipeline d’ingestion est susceptible de rendre l’offre encore plus puissante.
« Ce pipeline permet l’ingestion de mots de passe d’organismes chargés de l’application des lois, comme le FBI », a déclaré Troy Hunt, créateur de HIBP, dans un article de blog. « Le principe est simple : au cours de leurs enquêtes, ils rencontrent de nombreux mots de passe compromis et s’ils pouvaient les alimenter en continu dans HIBP, tous les autres services utilisant Pwned Passwords seraient en mesure de mieux protéger leurs clients. d’attaques de prise de contrôle de compte. »
Quant à savoir si les forces de l’ordre utiliseront réellement ce pipeline d’ingestion, eh bien, c’est là qu’intervient la NCA. Hunt dit que l’agence a partagé des centaines de millions de mots de passe, bien qu’il note qu’« il y en avait déjà 613 millions dans le Pwned en direct. Service de mots de passe (et plusieurs millions d’autres dans ma copie de travail locale en attente de la prochaine version). »
Recommandé par nos rédacteurs
Malgré ces doublons, les données fournies par la NCA comprenaient 225 665 425 nouveaux mots de passe, qui ont déjà été ajoutés à Pwned Passwords. Les entreprises utilisant l’API, comme les fournisseurs de gestionnaires de mots de passe, les fabricants de navigateurs, etc., peuvent désormais vérifier si les informations d’identification qu’elles gèrent pour leurs utilisateurs ont été compromises d’une manière ou d’une autre.
« La sortie d’aujourd’hui porte le nombre total de mots de passe pwned à 847 223 402, soit une augmentation de 38 % par rapport à la dernière version », a déclaré Hunt. « Plus important encore, si nous prenons en compte les chiffres de prévalence, il s’agit de 5 579 399 834 occurrences d’un mot de passe compromis représenté dans ce corpus. »
Vous aimez ce que vous lisez ?
S’inscrire pour Veille de sécurité newsletter pour nos meilleures histoires de confidentialité et de sécurité livrées directement dans votre boîte de réception.
Cette newsletter peut contenir de la publicité, des offres ou des liens d’affiliation. L’inscription à une newsletter indique votre consentement à nos conditions d’utilisation et à notre politique de confidentialité. Vous pouvez vous désinscrire des newsletters à tout moment.