Sikkerhetskonsulent Mark Burnett har lastet opp 10 millioner brukernavn og passord for forskningsøyemed. Vanligvis deles slikt privat mellom forskerne, denne gang kan alle ta en titt.
– Neglisjert forskning
Det får nok mange til å sperre opp øynene, men ifølge Burnett er et snakk om ikke-aktive passord.
Han forsvarer opplastingen med at slik forskning har blitt neglisjert:
«Som regel laster forskere kun opp passordene, men jeg har valgt å laste opp brukernavn og passord. Analyser av brukernavn med passord er et område som har blitt neglisjert. Forskning på denne kombinasjonen kan gi like mye innblikk som å bare studere passordene.
Annonse
De fleste forskere er redde for å publisere brukernavn og passord sammen fordi de kan brukes til å logge seg inn.
Om det å bare lenke til allerede publisert innloggings-informasjon på en privat IRC-kanal var ansett som ulovlig handel, så hadde vel FBI vurdert det dithen at å publisere informasjonen som en kriminell handling, men er dette egentlig ulovlig i hendold til loven?».
Derfor mener han det kan forsvares
For å sikre seg mot at brukernavnene og passordene blir misbrukt, har Burnett fjernet alle epostdomener, VISA-info, informasjon om statlige ansatte eller militært personell og manuelt gått igjennom store deler av materialet.
Deler av informasjonen er samlet inn fra tusenvis av hendelser de siste fem årene, mens resten er mikset sammen med enda eldre informasjon for å gjøre det vanskelig å spore fra hvilke lekkasjer brukernavn og passordene stammer fra.
Burnett hevder samtidig at han tror sannsynligheten for misbruk er «lav», blant annet fordi informasjonen i lang tid har vært tilgjengelig i klartekst ved å søke på Google.
Kilde:
Mark Burnett
Annonse
