Auf der kostenlosen Website "Have I Been Pwned" (HIBP) können Nutzer überprüfen, ob ihre Login-Informationen wie E-Mails und Passwörter durch Datendiebstähle kompromittiert wurden. Nach eigenen Angaben erhält der Dienst pro Monat fast eine Milliarde Anfragen und verfügt über Datensätze von über 8 Milliarden kompromittierten Konten.

Troy Hunt, im Hauptberuf Microsoft Regional Director in Australien, hatte HIBP 2013 als Ein-Mann-Projekt gestartet und bekommt nun prominente Unterstützung. Künftig will auch das FBI mit Informationen zu HIBP beitragen. Durch die Partnerschaft erhält die Website Zugriff auf neue Passwörter, sobald diese kompromittiert werden und im Rahmen von Ermittlungen zu Datenlecks, Cyberattacken, Malware etc. auftauchen. Das FBI teilt die Passwörter als SHA-1- und NTLM-Hash-Paare, die dann mithilfe des Dienstes durchsucht oder als Teil der Offline-Passwortliste von HIBP heruntergeladen werden können.

"Wir freuen uns, bei diesem wichtigen Projekt mit HIBP zusammenzuarbeiten, um Opfer des Diebstahls von Online-Zugangsdaten zu schützen. Dies ist ein weiteres Beispiel dafür, wie wichtig öffentlich-private Partnerschaften im Kampf gegen Cyberkriminalität sind", erklärte Bryan A. Vorndran, Assistant Director der Cyber-Abteilung des FBI.

HIBP verfüge aber noch über keine Möglichkeit für die Behörde, Passwörter möglichst schnell in die Datenbank einzugeben. Troy Hunt will dafür eine fixe Schnittstelle etablieren, die nun entwickelt werden soll. Zu diesem Zweck soll HIBP beziehungsweise das "Pwned-Passwords"-Modul dahinter komplett Open Source werden.

Hunt hat Pwned Password über die .NET Foundation als Open Source veröffentlicht und bittet andere Entwickler um Mithilfe bei der Erstellung einer "Password Ingestion" API. Die .Net Foundation soll auch bei der Etablierung eines Lizenzmodells sowie der Schaffung eines tragfähigen Entwicklungs- und Release-Prozesses helfen.

Die neue Schnittstelle für das FBI sei ein "grossartiges erstes kleines Projekt, das wir der Community zur Verfügung stellen", schreibt Hunt in einem Blogbeitrag. "Ich bin wirklich begeistert, nicht nur von der gemeinsamen Arbeit am Code, sondern auch davon, dass wir es in Zusammenarbeit mit einer grossen Strafverfolgungsbehörde tun, um die Welt durch einen kostenlosen Community-Service positiv zu verändern."