Der US-Amerikanischer Sicherheitsexperte Mark Burnett könnte für seine Forschungsarbeit ins Visier des FBI geraten. Über seinen Blog hat er vor wenigen Tagen zehn Millionen Passwörter und Usernamen realer Nutzer veröffentlicht.

Für die Forschung

Burnett argumentiert, dass die Daten für Forschungszwecke relevant seien. Seit 15 Jahren beschäftigt er sich damit, wie Menschen ihre Passwörter wählen. Durch die vorliegenden Datensätze könnten mehr Erkenntnisse darüber gewonnen werden. Erst kürzlich hat er zusammen mit SplashData die schlechtesten Passwörter 2014 zusammengestellt. Die am häufigsten verwendeten Passwörter sind demnach "123456", "password" und "12345".

Konflikt mit dem Gesetz

Nach einem aktuellen Urteil gegen den Journalisten und Anonymous-Aktivisten Barrett Brown könnte sich der Sicherheitsexperte damit allerdings Ärger mit dem Gesetz einhandeln. Brown war im Jänner zu über fünf Jahren Haft verurteilt worden, weil er einen Link zu internen E-Mails und gestohlenen Kreditkartendaten des gehackten Sicherheits-Dienstleister Stratfor veröffentlicht hatte. Solche Veröffentlichungen könnten zu weiterem Datenmissbrauch führen. Brown hatte den Ermittlern allerdings auch in YouTube-Videos gedroht.

"Nutzer nicht gefährdet"

Die Textdatei mit den Datensätzen hat der Sicherheitsforscher als Torrent zum Download zur Verfügung gestellt. Seinem Wissen nach seien die Zugangsdaten nicht mehr aktuell in Gebrauch und würden für die betroffenen Nutzer keine Gefahr darstellen. Zudem seien die Daten schon zuvor öffentlich im Klartext zugänglich gewesen. Er habe sie für die Forschung nur aus mehreren Quellen zusammengeführt und um nicht aussagekräftige Datensätze bereinigt.

Neue Leaks würden sich darunter nicht befinden. Da viele Nutzer die gleichen Logins jedoch für mehrere Dienste verwenden, kann nicht gewährleistet werden, dass die Zugangsdaten nicht doch nicht in Verwendung sind.

Kein Hinweis auf Dienste

Immerhin geht laut Burnett aus den Daten nicht hervor, zu welchen Diensten die Logins gehören. So hat er bei E-Mail-Adressen die Domainnamen sowie entlarvende Firmennamen entfernt. In seinem Blog erklärt er auch, wie sich Nutzer alarmieren lassen können, wenn ihre Passwörter geleakt werden. (br, derStandard.at, 10.2.2015)