Com o propósito de melhorar a investigação e a análise da segurança no que diz respeito a passwords, Mark Burnett tornou público um conjunto de dez milhões de dados. Para que o ficheiro não enfrentasse complicações legais, o investigador escreveu uma publicação em que explica todo o processo.
Um investigador que tem estudado a questão da segurança nas palavras-passe, durante os últimos 15 anos, anunciou a divulgação de dez milhões de usernames e passwords com o propósito de melhorar as análises.
Estas informações reveladas foram obtidas através de quebras de segurança ocorridas nos últimos dez anos e, na verdade, já estiveram ou ainda estão públicas, mas Mark Burnett reuniu-as num grupo único para que fosse mais simples aceder a estes dados.
Burnett é consultor de segurança e autor de vários livros sobre esta matéria e explica que a agregação destes dados surge de repetidos pedidos de estudantes e de outros especialistas para que a sua investigação fosse partilhada. Numa publicação no seu blog, explica que “um conjunto cuidadosamente selecionado de dados fornece um ótimo conhecimento sobre o comportamento dos utilizadores e é valioso para uma segurança de passwords mais aprofundada”.
As informações que foi recolhendo ao longo dos anos foram retiradas de fontes públicas e de empresas como a Adobe Systems e estão agora reunidas num só ficheiro. Para tornar a sua pesquisa, de facto, útil, o investigador organizou-a e removeu quaisquer informações duplicadas ou com erros.
De acordo com Burnett, os investigadores tendem a revelar apenas passwords, e é por o seu trabalho divulgar tanto palavras-passe como nomes de utilizadores que se torna tão relevante.
O investigador declara ainda que o perigo é praticamente inexistente uma vez que a maioria das palavras-passe já deverá estar inválida, ou seja, potenciais hackers não poderão aproveitar as informações reveladas. Na sua publicação, afirma que “a probabilidade de qualquer informação autenticada incluída estar ainda válida é baixa e, por isso, estes dados não têm qualquer utilidade para propósitos ilegais”.
Burnett mostra-se preocupado com a eventual ilegalidade da sua decisão mas explica que a divulgação destes dados não deverá compreender nenhuma violação. Acrescenta ainda que não pretende apoiar atividades fraudulentas com as suas ações.
Filipa Almeida, B!T