Extraño hobby de un hombre: recopilar contraseñas filtradas y reta al FBI, desvelando 10 millones de ellas
"Hoy voy a publicar diez millones de contraseñas". Con esta rotunda afirmación titulaba Mark Burnett un artículo publicado hace unas horas en el que, efectivamente, existe un enlace a un archivo *.torrent en el que se incluyen más de diez millones de usuarios y sus claves, obtenidas de filtraciones de seguridad. Él, aclara, se ha limitado a recopilarlas, pero las contraseñas ya eran públicas.
Burnett es un experto en seguridad que lleva años rastreando IRC, foros, P2P y listas filtradas en pastebin, entre otros lugares, para crear una gigantesca base de datos con nombres de usuario y contraseña. De hecho, ha colaborado con algunas compañías con el fin de ayudar a la protección de los datos de sus usuarios y recibe frecuentemente peticiones de investigadores que quieren saber más sobre las contraseñas que utilizamos. Sin embargo, hasta ahora no había dado el paso definitivo: lanzar al público casi el fruto completo de todos estos años de investigación.
Mark Burnett no utiliza métodos ilegales para recopilar contraseñas: simplemente escanea la web buscando filtraciones publicadas por otros usuarios
¿Por qué ahora?. "Algunos sucesos recientes me han hecho cuestionarme el hecho de publicar esta información, aunque sea destinada a la investigación", explica Burnett, que además hace referencia al caso de Barrett Brown. Brown, periodista, acaba de ser condenado a 63 meses de cárcel y una multa de 890,000 dólares por únicamente enlazar a material procedente de un "hack" a la compañía de seguridad privada Stratfor. Material que, en cualquier caso, ya era público en Internet. Brown, además, ya había pasado varios meses en relación a dicho hackeo y en su día se le relacionaba con el movimiento Anonymous.
¿Qué contraseñas ha publicado?
Según explica Burnett, en el documento ha "retocado" los correos electrónicos, eliminando la parte del dominio, ha eliminado también menciones específicas a compañías, ha borrado información personal y también aquellas cuentas que se correspondían a empleados del gobierno o militares. Además, añade que la mayoría de contraseñas incluidas ya están seguro en desuso por el tiempo que tienen, porque muchos sitios te obligan a resetear tu clave cada cierto tiempo y por cómo algunos servicios, como Facebook, te avisan de si tu contraseña ha sido comprometida en otro servicio web.
¿De dónde proceden los datos?. Si bien todavía no hemos podido examinarlos, Burnett lleva más de 15 años recopilando información de contraseñas filtradas gracias a bots que rastrean Internet, foros, IRC, Usenet, P2P... Él mismo, con esta técnica, asegura haber conseguido más de 1,000 contraseñas cada día. Sin embargo, eso era antes. Ahora, y gracias a sitios como Pastebin, dice poder recopilar más de 10 millones de contraseñas únicas al año. A eso ayudan también brechas de seguridad como la de Adobe y otras grandes compañías.
En cualquier caso, Burnett insiste: todas estas contraseñas son públicas y, si están en su base de datos, es porque alguien las ha publicado antes.
Miedo a enlazar datos
En su artículo, Mark Burnett se queja cómo algunos periodistas, ante la presión de las autoridades con este tipo de actuaciones, han dejado ya de escribir sobre filtraciones y problemas de seguridad. "Si simplemente enlazar a material de autenficación en un canal privado de IRC es considerado tráfico, seguramente el FBI considerará que publicar estos datos es un crimen", asegura Burnett, que a continuación dice que, según la ley, no lo es ya que no tiene intención de cometer un fraude.
Del delito de traficar con contraseñas u otra información "a sabiendas y con la intención de defraudar" a "a sabiendas e intencionadamente", según el cambio en la ley que propone la Casa Blanca
"Creo que es completamente absurdo que haya tenido que escribir un artículo entero justificando el lanzamiento de estos datos por miedo a persecución o acoso legal. Quería hacer un artículo sobre los datos en sí pero lo tendré que hacer más tarde porque he tenido que escribir este patético texto para intentar convencer al FBI de que no me haga una redada", denuncia Burnett. De paso, recuerda cómo la Casa Blanca ha propuesto un cambio en la legislación en el que elimina la necesidad de "cometer un fraude" para que la filtración de una contraseña sea delito. En definitiva: será ilegal compartir esta información si existe alguna posibilidad de que alguien la utilice para accesos no autorizados.
Fuente: xataka.com
Comparte tu opinión