Sicherheitsforscher veröffentlicht 10 Millionen Nutzernamen und Passwörter

Der Sicherheitsforscher Mark Burnett hat 10 Millionen Passwörter und die zugehörigen Nutzernamen veröffentlicht, die er aus anderweitig verfügbaren Dokumenten gesammelt hat. Seine Absicht ist es, durch die Publikation für mehr Klarheit zu sorgen und Forschungen über Nutzerverhalten zu erleichtern.

In seinem Blog schreibt Burnett: „Die Absicht ist sicherlich nicht, zu betrügen, Zugänge zu fremden Computersystemen zu erleichtern, Identitäten zu stehlen, Verbrechen zu unterstützen oder irgendjemandem zu schaden. Die einzige Absicht besteht darin, die Forschung voranzubringen, die Authentifizierung sicherer machen will, um besser vor Betrug und nicht autorisiertem Zugang zu schützen.“

Als Maßnahme gegen Missbrauch hat Burnett aber die Domains aller E-Mail-Adressen entfernt. Auch handelt es sich um Daten aus Tausenden Sicherheitsvorfällen der letzten fünf Jahre. Manche Daten gehen sogar zehn Jahre zurück. Auch irgendwelche Namenselemente, die auf eine Firma schließen lassen, wurden entfernt. Somit ist es nicht möglich, von den Daten auf einen Vorfall bei einem bestimmten Unternehmen zu schließen.

Burnett prüfte die Passwörter zusätzlich von Hand. Wenn er eine Verbindung zu einer Bank oder Militär bemerkte, entfernte er den Eintrag, um nicht unnötig Ärger mit Behörden zu bekommen.

Aktuell gültige Daten dürften aufgrund des Alters nur noch in Ausnahmefällen darunter sein: „Ich glaube, dass es sich überwiegend um tote Passwörter handelt, die nicht als Authentifizierungsmerkmal klassifiziert werden können, weil sie ja nicht für eine Authentifizierung nutzbar sind.“

Die Daten seien für illegale Absichten so gut wie nutzlos, schreibt Burnett, aber „extrem wertvoll für akademische und Forschungszwecke“. Deshalb habe er sie in die Public Domain übergeben, also frei verfügbar und verwertbar gemacht.

Selbst wenn sich ein gültiges Passwort auf der Liste finden sollte, so wurde es schon vorher im Internet veröffentlicht. Burnett hat sich nur der ihm zugänglichen Quellen bedient, um sein Material zusammenzutragen. Anwender, die befürchten, dass ihr Konto kompromittiert wurde, können die Dienste haveibeenpwned und pwnedlist oder auch die Google-Suche für einen Check verwenden.

„Nachdem ich das klargestellt habe: Ich finde es vollkommen absurd, dass ich aus Angst vor Belästigung oder Verfolgung durch Behörden einen kompletten Artikel schreiben muss, um mich zu rechtfertigen.“ Schließlich hätte er die Daten auch anonym veröffentlichen können, wie andere dies getan hätten, erklärt Burnett abschließend. Es sei unvernünftig, wenn Forscher, Studenten und Journalisten sich vor Behörden fürchten müssten, deren Aufgabe eigentlich sei, sie zu schützen.

[mit Material von Charlie Osborne, ZDNet.com]