Pesquisador de segurança decide publicar 10 milhões de senhas e nomes de usuário reais
O consultor de segurança Mark Burnett publicou 10 milhões de senhas junto a seus nomes de usuário correspondentes. A ideia é ajudar outros pesquisadores – ele acredita que a maioria das combinações usuário-senha já foi desativada – mas é algo juridicamente arriscado.
>>> As 25 senhas mais populares de 2014
Normalmente, pesquisadores de segurança recebem um conjunto de senhas sem os nomes de usuário, só que isso os impede de analisar possíveis interações entre nomes e senhas.
Burnett explica que, há algum tempo, “queria criar um banco de dados limpo para compartilhar com o mundo”. Ele acredita que fornecer nomes e senhas em conjunto dá “insights melhores sobre o comportamento do usuário e é valioso para promover a segurança de senhas”.
Então ele fez exatamente isso, mas com alguma apreensão e muita justificativa. “Eu acho completamente absurdo ter que escrever um artigo inteiro justificando o lançamento destes dados por medo de perseguição ou assédio legal”, diz ele em seu blog. “Eu queria escrever um artigo sobre os dados em si, mas vou ter que fazer isso mais tarde, porque eu tive que escrever isso tentando convencer o FBI a não me atacar.”
Ele também faz referências à recente condenação de Barrett Brown, jornalista que teria ajudado um hacker a escapar das autoridades. O hacker estava envolvido na invasão de 2011 à Stratfor, empresa de inteligência e espionagem. Em janeiro, Brown foi condenado a cinco anos de prisão e a pagar US$ 890.000 em danos.
Assim, Burnett se esforça para explicar por que o FBI não deve prendê-lo:
Embora os pesquisadores normalmente só liberem senhas, eu estou liberando os nomes de usuário com as senhas. A análise de nomes e senhas é uma área que tem sido muito negligenciada e pode fornecer mais insights que estudar senhas isoladamente.
A maioria dos pesquisadores tem medo de publicar nomes de usuários e senhas juntos porque, combinados, eles se tornam um recurso de autenticação. Se apenas fornecer o link para recursos de autenticação em um canal de IRC privado é considerado tráfico, certamente o FBI iria considerar a liberação pública de dados reais um crime…
… a intenção aqui certamente não é fraudar, nem facilitar o acesso não-autorizado a um sistema de computador, nem roubar a identidade de outros, nem auxiliar qualquer crime ou prejudicar qualquer pessoa física ou jurídica. A única intenção é avançar as pesquisas com o objetivo de tornar a autenticação mais segura e, portanto, nos proteger contra fraudes e acessos não-autorizados…
Em última análise, até o máximo que pude verificar, estas senhas não são mais válidas, e eu tomei medidas extraordinárias para tornar esses dados ineficazes em atacar determinados usuários ou organizações. Estes dados são extremamente valiosos para fins acadêmicos e de pesquisa e para promover a segurança de autenticação, e é por isso que eu os liberei em domínio público.
Com tudo isso em mente, Burnett pegou uma amostra aleatória de 10 milhões de senhas, recolhidas a partir de “milhares de depósitos constituídos por mais de um bilhão de senhas”. Ou seja, caso sua senha não esteja na lista – que você encontrará facilmente na internet – não significa que ela não esteja circulando por aí. [Mark Burnett]
Foto por marc falardeau/Flickr