Have I Been Pwned è un servizio online completamente gratuito che permette di verificare se un account è stato violato e i dati ad esso associato sono stati sottratti. Utilizzarlo è molto semplice, basta sfruttare l’apposito form della piattaforma in cui inserire un recapito telefonico o un indirizzo di posta elettronica, non è necessaria alcuna registrazione.
Troy Hunt, uno dei responsabili del progetto ha recentemente reso noto che una parte del servizio, quella relativa alle password (sezione "Pwned Passwords"), è attualmente disponibile sotto licenza Open Source. Tale novità sarebbe stata possibile grazie ad una collaborazione con i tecnici della .NET Foundation che raccoglie nomi come Microsoft e AWS (Amazon Web Services).
Gli sviluppatori interessati ad analizzare il codice sorgente hanno la possibilità di clonarlo dal repository dedicato presente sul code hosting di GitHub (a sua volta una proprietà della Casa di Redmond), attualmente Have I Been Pwned funziona all’interno di un’istanza di Microsoft Azure e gestisce il traffico di rete esternamente tramite Cloudflare.
Per quanto riguarda invece il database, quest’ultimo verrà continuamente aggiornato grazie ad una collaborazione diretta con gli agenti dell’FBI (Federal Bureau of Investigation), la polizia federale statunitense. In seguito alle proprie indagini essi integreranno in modo tempestivo l’archivio con le informazioni relative alle nuove credenziali trafugate.
Non è comunque la prima volta che i creatori di Have I Been Pwned attivano una partnership con le forze dell’ordine USA, a tal proposito basti ricordare che il servizio è stato utilizzato dalla già citata FBI per identificare le password sottratte da utenti malevoli tramite Emotet (oggi smantellata), una delle reti botnet più grandi che siano mai esistite.