Forscher veröffentlicht zehn Millionen Passwörter

Der Sicherheitsforscher Mark Burnett hat eine Liste aus zehn Millionen Logins zusammengestellt, die vornehmlich aus Fällen von Identitätsdiebstahl der vergangenen fünf Jahren stammen. Die Liste besteht aus Nutzernamen und den dazugehörigen Klartext-Passwörtern. Burnett erklärt in seinem Blog, dass er Hinweise darauf, zu welchen Diensten die Logins passen, entfernt habe. Mail-Adressen hat er bis auf den Teil vor dem @ verkürzt, Kreditkartendaten wurden ebenfalls aussortiert.

Laut den FAQ zur Liste stammen die Daten aus öffentlich zugänglichen Quellen wie Texthostern à la Pastebin und nicht näher genannten Foren. Burnett betont, dass seine fast 200 MByte große Liste nicht dazu dienen soll, Unfug damit zu betreiben. Stattdessen sollen die Echtdaten anderen Sicherheitsexperten etwa dabei unterstützen, die Gewohnheiten der Nutzer zu verstehen und bessere Authentifizierungsverfahren zu entwickeln.

Ein Hauch Aktivismus steckt anscheinend auch hinter der Aktion: Im oben verlinkten Blog-Eintrag führt der Forscher mehrere Auszüge aus US-Gesetzestexten auf, die belegen sollen, dass die Verbreitung solcher Daten zu wissenschaftlichen Zwecken nicht strafbar ist. Seiner Einschätzung nach ist die Lage für Forscher und Journalisten seit der Verhaftung des Journalisten und zeitweiligen Anonymous-Sprechers Barrett Brown nicht mehr eindeutig.

Brown soll einen Link zu öffentlich zugängliche Daten aus Leaks in einem Chat gepostet haben, was das FBI zum Anlass nahm, ihn wegen Identitätsdiebstahl und dem Handel von Authentifizierung-Merkmalen zu verhaften. Laut Burnett verzichten seitdem Journalisten zunehmend darauf, über IT-Sicherheitsthemen zu berichten; aus Angst, Gesetze zu überschreiten – etwa durch den Austausch von Recherchematerial mit Informanten und Kollegen. Die Problematik hat die US-Journalistin Quinn Norton jüngst in einem Artikel auf Medium.com aufgegriffen. (rei)