Eu fui configurado para me tornar open-source

Abrir totalmente a porta para permitir que as pessoas contribuam – e notavelmente, mexam com – o código para o serviço de informações sobre violação de dados será um esforço de nível totalmente seguinte, de acordo com o fundador Troy Hunt.

O Have I Been Pwned, o serviço que registra violações de dados e permite que os indivíduos pesquisem para ver se foram afetados por alguma, está prestes a se tornar um código aberto. O resultado disso, de acordo com seu fundador, será transparência adicional e recursos de aprimoramento de segurança.

O HIBP, que foi lançado em 2013, oferece uma gama de serviços: Há um serviço gratuito para pessoas que desejam saber se seus nomes de usuário e senhas foram comprometidos em uma violação de dados; também oferece serviços comerciais que incluem alertas para membros de programas de roubo de identidade; e permite que as empresas de infosec forneçam serviços a seus clientes, como proteção de grandes ativos on-line contra ataques de empastamento de credenciais, prevenção de transações financeiras fraudulentas e assistência de governos e policiais nas investigações.

Em junho passado, o proprietário Troy Hunt embarcou no “Projeto Svalbard”, que era uma tentativa de encontrar um comprador para o HIBP. Esse “processo de M&A falhado”, como ele o chama, foi desencadeado por “algo próximo do esgotamento”, disse ele à Threatpost na época. Ele observou que suas responsabilidades em manter o HIBP à tona aumentaram, o que o levou a cortar outras coisas, como manter sua presença na mídia social no Twitter e escrever posts técnicos em blogs. Ele também estava falando em conferências em todo o mundo, enviando vídeos semanais e participando de eventos da indústria e da mídia.

Já que um comprador apropriado não apareceu, o próximo plano é abrir a base de código do serviço.

“O código será entregue ao público para a melhoria do projeto e, francamente, para a melhoria de todos que o usam”, disse Hunt em uma postagem do blog anunciando o plano, na sexta-feira. “O objetivo mais importante [é] buscar um futuro mais sustentável para o HIBP … o projeto não pode depender exclusivamente de mim.”

O HIBP já é bastante “aberto”, observou ele, rodando em serviços gratuitos “por empresas como a Cloudflare”; usando os projetos de código aberto Visual Studio Code e Ghost (junto com várias bibliotecas de código aberto); e implementar uma série de contribuições da comunidade, muitas delas disponíveis publicamente. Mas abrir totalmente a porta para permitir que as pessoas contribuam – e notavelmente, mexam com – o código será um esforço de nível totalmente seguinte, observou Hunt.

“Estou falando de código aberto em termos de receber contribuições também”, escreveu ele. Ele acrescentou: “Todo esse acúmulo, todos aqueles bugs, todas as grandes novas ideias que as pessoas têm, mas simplesmente não consigo me implementar, posso, se a comunidade quiser, finalmente ser contribuído de volta para o projeto”.

Ele observou que não é uma base de código elegante, mas está ansioso para levar a comunidade a retificar quaisquer problemas: “Eu o cortei em pequenos pedaços, frequentemente de um laptop durante uma viagem, com jetlag e preocupado, ” ele disse. “Eu peguei atalhos. Eu hackeei algumas coisas bem bagunçadas. Eu provavelmente verifiquei segredos antes e quando você é a única pessoa tocando em um projeto, você pode se safar com todas essas coisas, mas não depois de começar a abrir o código. ”

A mudança também diminuirá as preocupações dos usuários de que o HIBP possa estar coletando dados sobre eles ou suas pesquisas.

“Muitas vezes as pessoas questionam se estou registrando pesquisas para construir uma nova lista de endereços de e-mail”, disse ele. “Não, não estou, mas no momento essa afirmação se resume a ‘confiar em mim’. Mostrar o código – o código real – e demonstrar que as coisas não são registradas é uma proposição muito diferente. ”

Quanto à proteção dos dados pessoais contra violações que compõem o banco de dados do HIBP e sua razão de ser, Hunt observou que tudo vem de atividade criminosa na forma de roubo de informações e, como tal, a maior parte está em circulação pública no subsolo mercados e já passou por muitas mãos. Ele também foi acessado por muitos: “Grandes empresas de tecnologia, por exemplo, eliminam exatamente as mesmas violações que entram no HIBP e as usam para identificar a reutilização de credenciais em suas próprias plataformas”, disse Hunt.

No entanto, “ainda preciso garantir que os mesmos controles de privacidade prevaleçam nos dados de violação em si, mesmo quando a base de código se torna mais transparente. Isso não é trivial. Possível, mas não trivial. ”

Em termos de mais detalhes sobre o processo de código aberto, Hunt disse para ficar atento. E ele enfatizou que, em vez de jogar toda a base de código no GitHub, ele planeja divulgá-la em uma base de estágios – cronograma definido.

“Preciso escolher as partes certas do projeto para abrir da maneira certa no momento certo”, disse ele. “A transição de completamente fechado para completamente aberto acontecerá de forma incremental, pouco a pouco e de uma forma que seja gerenciável e responsável”.

Ele acrescentou: “Quero chegar a um ponto em que tudo o que for possível esteja aberto. Quero que a configuração da infraestrutura também seja aberta e quero que tudo seja autossustentável pela comunidade. ”

Fonte: https://threatpost.com/have-i-been-pwned-open-source/158187/