Firefox Breach Alerts advertirá a los usuarios si visitan un sitio hackeado

Mozilla ha anunciado que en las próximas semanas lanzará un sitio llamado Firefox Monitor que arrojará los resultados del servicio Have I Been Pwned (HIBP) operado por el investigador de seguridad australiano Troy Hunt.

Firefox Monitor se abrirá inicialmente a alrededor de 250,000 usuarios, principalmente en los Estados Unidos, con un calendario de lanzamientos a seguir una vez que se completen las pruebas.

"Esto es importante porque Firefox tiene una base de instalación de cientos de millones de personas que expande significativamente la audiencia que se puede alcanzar una vez que esta característica se extiende a la corriente principal", dijo el fundador de HIBP Troy Hunt en una publicación de blog que describe la asociación.

En lugar de pasar toda la dirección de correo electrónico buscada de Firefox Monitor a HIBP, la asociación usará la técnica k-Anonymity de Cloudflare, que envía los primeros seis caracteres de un hash SHA-1 a HIBP, y se devuelve con los valores hash que coinciden. el prefijo. Hunt dijo que en promedio se devolvieron 185 hashes.

Hunt agregó que no ve que la API utilizada para este servicio esté disponible públicamente, y que estaba trabajando en una forma de portar la característica de suscripción de HIBP que alerta a los usuarios cuando están atrapados en una nueva violación.

Al mismo tiempo, Hunt dijo que 1Password estaba usando las mismas técnicas para permitir a sus usuarios buscar HIBP desde la versión web de 1Password.

En marzo, Hunt anunció que los centros de ciberseguridad del Reino Unido y Australia estaban utilizando HIBP para monitorear todos los dominios del gobierno en busca de infracciones en las direcciones de correo electrónico departamentales.

"El gobierno del Reino Unido puede consultar cualquier dominio .gov.uk bajo demanda y el gobierno de Aus puede consultar cualquier dominio .gov.au a pedido. También pueden consultar un pequeño puñado de dominios incluidos en la lista blanca en diferentes TLD, por ejemplo, The Commonwealth Scientific y la Organización de Investigación Industrial (CSIRO) se ejecuta en csiro.au para que el dominio se incluya en la lista blanca para el ACSC además del .gov.au TLD ", escribió Hunt en ese momento.

"El único acceso que tienen es a los dominios que las personas que trabajan en esos departamentos pueden consultar de todos modos a través del modelo de búsqueda de dominio libre existente, estamos simplemente consolidando todo en un servicio unificado".

El mes pasado, Mozilla lanzó Firefox 60, que según afirmó fue el primer navegador compatible con la API de autenticación web que actualmente permite el uso de YubiKeys en lugar de contraseñas. Mozilla espera que sea compatible con la autenticación a través de teléfonos móviles y biométricos.