Jo paviešintame faile palikti tik vartotojų vardai ir slaptažodžiai, o kiti duomenys (pvz., kokioje svetainėje vartotojas užsiregistravęs, kokiomis paslaugomis naudojasi) paslėpti. Be to, dokumente supainioti tūkstančių skirtingų įsilaužimų metu pavogti duomenys.
M.Burnettas aiškina, kad šiuos duomenis paviešino siekdamas parodyti, kaip aplaidžiai žmonės renkasi slaptažodžius. Iki šiol tyrėjai pabrėždavo pačius nesaugiausius, universalius slaptažodžius (tokius kaip 123456, password, qwerty, abc123 ir kt.), tačiau tai, kad slaptažodžiai gali būti susiję su vartotojo vardu, nebuvo tiriama.
„Vartotojų vardų kartu su slaptažodžiais analizė – sritis, kuri yra smarkiai apleista, nors gali suteikti tiek pat įžvalgų, kaip paskirų slaptažodžių tyrimai“, – teigė saugumo konsultantas. Pavyzdžiui, jis pastebėjo, kad slaptažodžiai ar jų dalys dažnai sutampa su vartotojo vardu, o tai palengvina programišių darbą.
Ir nors M.Burnettas tikina milijonus slaptažodžių paviešinęs vien tyrimų tikslais, jis pripažįsta, kad šiuo veiksmu galėjo užsitraukti nepageidaujamo teisėsaugos dėmesio. Visgi jis įsitikinęs, kad nieko nusikalstamo neatliko – nutekintame dokumente pašalinta informacija, leidžianti identifikuoti konkrečius profilius, be to, didelė dalis šios informacijos vienu ar kitu metu buvo viešai prieinama internete – jis ją tik apjungė.
„Maža to, mano manymu, didelė dalis šių slaptažodžių jau neveikia, o šie duomenys iš esmės yra beverčiai neteisėtiems tikslams, – teigė M.Burnettas. – Pagrindinis (mano) siekis yra paskatinti tyrimus, kurie padidintų saugumą kibernetinėje erdvėje ir apsaugotų vartotojus nuo apgavysčių ir pašalinių asmenų prisijungimų.“
Jis teigia slaptažodžių ieškantis įvairiose vietose internete – tinklalapiuose, forumuose, IRC kanaluose, „Usenet“ svetainėse ar „torrent" tinkluose. Anksčiau, naudodamas savo sukurtas programėles, jis per dieną surinkdavo apie tūkstantį naujų slaptažodžių, tačiau per pastaruosius 5 metus situacija smarkiai pasikeitė.
„Dabar sugebu rankiniu būdu surinkti 10–20 mln. unikalių slaptažodžių per metus. Be to, buvo keli labai stambūs slaptažodžių nutekinimo atvejai, per kuriuos paviešinta dešimtys milijonų duomenų – bet kas galėjo lengvai susirinkti šimtus milijonų slaptažodžių be didesnių pastangų“, – aiškino M.Burnettas.
Pernai „The New York Times“ pranešė, kad Rusijos nusikaltėliai yra surinkę per milijardą slaptažodžių iš daugiau nei 420 tūkst. skirtingų tinklalapių.
Baiminatės, kad jūsų duomenys galėjo nutekėti pašaliniams asmenims? Internete veikia bent kelios tarnybos, leidžiančios patikrinti, ar konkretus vartotojo vardas buvo įtrauktas į pastaraisiais metais internete nutekėjusių slaptažodžių sąrašus. Pavyzdžiui, „Have I been pwned?„, „Pwned List„, „Breach Alarm„, „Canary„.
Be to, net jei jūsų duomenys nebuvo paviešinti internete, slaptažodžius pravartu retsykiais pakeisti. Patarimų, kaip susikurti ir įsiminti patikimus slaptažodžius, rasite čia.