Ricercatore americano pubblica password e username di 10 milioni di persone

Un ricercatore americano, esperto di sicurezza online, Mark Burnett, ha pubblicato un database contente ben 10 milioni di password affiancandoli ai nomi degli utenti. Ovviamente il suo è un gesto con buone intenzione, allo scopo di accrescere l'attenzione verso la sicurezza online. Anche se lo stesso Burnett teme un'azione da parte dell'FBI nei suoi confronti.

Quello che ha voluto dimostrare Burnett, pubblicando questo suo database di nominativi e users, è che le password di tutti noi in realtà sono a disposizione di tutti e, come dice il ricercatore in un post sul suo blog, "sono a disposizione di chiunque e rilevabili anche da motori di ricerca in un testo in un formato chiaro (quindi non criptato, n.d.r.)". Un formato dunque già disponibile per chiunque volesse portare avanti un'azione oppure avere accesso all'interno di sistemi informatici "protetti".

Le password raccolte da Burnett sono in parte vecchie e in parte "dead", cioè già cambiate. La motivazione che ha spinto Burnett ad un'azione di questo tipo è quella di portare gli utenti ad essere più coscienti nello scegliere la propria password, anche se nessuno in effetti è poi in grado di misurare l'effettiva protezione nello scegliere una password piuttosto che un'altra. E non c'è da stare sereni se poi una delle password più usate è proprio la parola "password" o, come rilevato da una ricerca di SplashData, la sequenza numerica più banale come "123456".

In un passaggio del suo post, Burnett spiega il perchè della pubblicazione:

Ricevo spesso richieste da studenti e ricercatori di sicurezza per avere una copia dei miei dati di ricerca sulle password. Di solito mi rifiuto di condividere le password, ma è stato necessario un po' di tempo per raccogliere e fornire una serie di dati puliti da condividere con il mondo. Un insieme di dati attentamente selezionato ci offre una grande sguardo verso quello che è il comportamento degli utenti ed è prezioso per promuovere la sicurezza delle password. Così ho costruito un set di dati di dieci milioni di nomi, utente e password, che sto rendendo di pubblico dominio.

Lo stesso Burnett non era molto convinto della pubblicazione dei dati in quanto la legge americana da questo punto di vista non è molto chiara. Spesso la stessa legge non è in grado di distinguere l'azione divulgativa, anche se eclatante come questa di Burnett, rispetto ad un'azione di violazione e diffusione di dati sensibili. Ed è questa la vicenda che è toccata ad un giornalista, Barrett Brown, ex attivista Anonymous, condannato a 5 anni di carcere per aver dei link che riportavano a dati di autenticazione e diffusi via chat.

In effetti 10 milioni sono un gran numero, ma nel 2009 Rock You, un sito di gaming, ne perse 32 milioni. Il New York Times lo scorso anno riportava che criminali russi avrebbero raccolto un database con 1 miliardo di password raccolte da 420 milioni di siti web. Molto diverso da quello che ha fatto Burnett. Vedremo quale sarà la reazione dei procuratori americani.

Il link del database, di dimensioni di 84,7 MB, è sul post di Burnett.