IT-Spezialist hat 10 Millionen Passwörter und Logins veröffentlicht
Alexander Trust, den 10. Februar 2015
IT-Spezialist und -Berater Mark Burnett hat heute 10 Millionen Passwörter und Logins veröffentlicht, zu Forschungszwecken, wie er sagt. Gleichzeitig äußert er die Sorge, das FBI könnte ihn dafür in Gewahrsam nehmen.
Einen ganzen Artikel hat Burnett der Veröffentlichung von 10 Millionen Passwörtern und Logins gewidmet. Burnett, der mehrere Bücher über IT-Sicherheit bei Sams und Syngress veröffentlicht hat, äußert darin die Sorge, die Strafverfolgungsbehörden in den USA könnten ihn dafür einsperren. Er begründet, warum seiner Meinung nach die Veröffentlichung der Daten zu Forschungszwecken relevant ist und erläutert die Gesetzeslage in den USA, die sein Vorgehen offenbar unter Strafe stellt. Laut Burnett sollen die Logins und Passwörter allesamt nicht mehr aktiv genutzt werden, weshalb sie „im Prinzip“ keine direkte Bedrohung darstellen. Das zu überprüfen ist aber nicht realistisch möglich, weshalb man es als eine Schutzbehauptung ansehen muss.
„Ultimately, to the best of my knowledge these passwords are no longer be valid and I have taken extraordinary measures to make this data ineffective in targeting particular users or organizations.“
Mark Burnett
10 Millionen Passwörter durchsuchen
Burnett verteilt ein Archiv als Torrent-Download von knapp 90 MByte, das in einer simplen Textdatei von knapp 200 MByte resultiert. Nutzer sollten nicht versuchen die Textdatei mit irgendwelchen Editoren zu öffnen, um darin zu suchen. Das strapaziert die meisten Editoren über. Wer sich die Datei bloß angucken möchte, der kann das natürlich im Editor tun.
Das Suchen erledigt man aber besser mit Hilfe der Kommandozeile / des Terminals. Dabei lautet die einfachste Formel: grep SUCHWORT DATEI. Wer wissen möchte, in welcher Zeile des Dokuments das Ergebnis gefunden wurde fügt einfach den Parameter „-n“ hinzu, also: grep -n SUCHWORT DATEI.
Da der Grep-Befehl auch einen regulären Ausdruck (REGEX) als Suchwort akzeptiert, kann man sehr komplexe Suchen durchführen.
Keine E-Mail-Adressen
Burnett schreibt, er habe die Daten sorgsam ausgewählt. Das bedeutet auch, dass keine E-Mail-Adressen in dem Datensatz enthalten sind, und dass außerdem nicht ersichtlich ist, auf welchen Plattformen oder in welchem Kontext die Logins und Passwörter genutzt wurden. Durch die Beschaffenheit der Datei ist zudem mit Grep zunächst keine Unterscheidung zwischen Login oder Passwort als Suchbegriff möglich. Dadurch, dass jedoch der Abstand zwischen Login und Passwort immer derselbe ist, könnte man den Datensatz bearbeiten und in ein anderes Format übertragen, sogar für eine tabellarische Ansicht überarbeiten.
In jedem Fall hat Burnett mit der Veröffentlichung einigen Script-Kiddies die Liste der Passwörter ihrer Brute-Force-Tools aufgefüllt.