Zu Forschungszwecken Sicherheitsexperte veröffentlicht Millionen Passwörter

Ein amerikanischer Forscher hat zehn Millionen Kombinationen aus Passwort und Nutzername im Web veröffentlicht, zu Forschungszwecken. Die Daten sind alt und verfremdet - trotzdem fürchtet er nun Ärger mit dem FBI.
Passwörter (Symbolbild): Zehn Millionen Datensätze im Netz

Passwörter (Symbolbild): Zehn Millionen Datensätze im Netz

Foto: PAWEL KOPCZYNSKI/ REUTERS

"Heute veröffentliche ich zehn Millionen Passwörter", schrieb der US-Security-Experte Mark Burnett am Montag auf seinem Blog  - und ging sogar noch einen Schritt weiter: Es sind insgesamt zehn Millionen Kombinationen von Nutzernamen und den dazugehörigen Passwörtern, die er zu Forschungszwecken als 78 Megabyte große Torrent-Datei freigibt. Eine gewagte Maßnahme, die dem Forscher Ärger mit dem FBI einbringen könnte. Doch das Risiko ist dem Forscher bewusst.

Der in Utah lebende Burnett ist Experte für Server-Sicherheit auf Windows-Systemen und beschäftigt sich seit Jahren mit den Methoden und Strategien, nach denen Menschen ihre Passwörter generieren. Je mehr Daten vorliegen und je besser sie gefiltert und aufbereitet sind, desto mehr kann die Forschung über diese Strategien in Erfahrung bringen, meint Burnett.

Deshalb hat er gigantische zehn Millionen Datensätzen zusammengetragen und aufbereitet. Er veröffentlicht sie nun, um weitergehende Forschung auf dem Gebiet der Datensicherheit zu ermöglichen. Burnett glaubt aber auch, dass er sich mit der Veröffentlichung auf riskantes Terrain begibt.

Er weist in seinem Blogeintrag ausführlich auf ein aktuelles Urteil hin, das seiner Ansicht nach symptomatisch für das politische Klima in den USA ist: Der "Anonymous"-Aktivist Barrett Brown war erst im Januar zu einer mehr als fünfjährigen Freiheitsstrafe verurteilt worden. Ursprünglich waren Brown unter anderem Identitätsdiebstahl und der Besitz gestohlener Kreditkartennummern vorgeworfen worden, die meisten Anklagepunkte jedoch fallengelassen worden.

Keine Gefahr für Nutzer

Burnett sieht das Urteil als Warnung des unter Druck geratenen FBI, potenzielle Hacker keinesfalls zu unterstützen. Deshalb erklärt er, warum ihn das FBI für seine Aktion nicht verhaften sollte: "Ich finde es absurd, dass ich mich in einem ganzen Artikel für die Veröffentlichung der Daten rechtfertigen muss - aus Angst vor Verfolgung oder Anklage. Ich wollte über die Daten eigentlich einen Artikel schreiben."

Dass Kriminelle etwas mit den von ihm veröffentlichten Informationen anfangen können, glaubt Burnett ausschließen zu können. Nach eigenen Angaben hat er die Daten großenteils verfremdet, indem er zum Beispiel den Domainnamen aus E-Mail-Adressen gelöscht, Schlüsselwörter wie Firmennamen sowie Kreditkarten- oder Kontonummern entfernt habe.

Die Daten waren laut Burnett teilweise auch schon rund zehn Jahre alt, die Passwörter nach seiner Einschätzung "längst tot". Ohnehin seien die Datensätze seit langem öffentlich einsehbar gewesen. Er selbst habe sie von Leak-Seiten wie "haveibeenpwned " und "pwnedlist " kopiert.

abr