Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

© Shutterstock

Der digitale Messie, der zehn Millionen Zugangscodes ins Netz gestellt hat

von Max Biederbeck
Noch hat das FBI nicht bei Mark Burnett angerufen. Keine Männer in schwarzen Anzügen klopften an seiner Haustür in Salt Lake City. Abgesehen von ein paar Beleidigungen im Internet gab es auch keine ernsthaften Drohungen. Der Programmierer glaubt aber, dass es jeden Moment soweit sein könnte. Dass Beamte in seiner Straße auftauchen oder ihm zumindest irgendwer aus Wut die Fensterscheibe einschmeißt. Dabei wollte der Fachmann für Cybersecurity eigentlich nur helfen.

Burnett bezeichnet sich selbst als Messie. Der 45-Jährige durchwühlt seit mehr als 15 Jahren jeden Tag Müllkippen. Keine echten sondern digitale, denn Burnett ist auf der Suche nach Passwörtern und den dazugehörigen Benutzernamen. Der Sicherheitsfachmann ist besessen von ihnen, kann nicht damit aufhören, sie zu sammeln. „Andere Leute horten Geschirr, Spielsachen oder Tiere, ich habe ein Faible für Zugangscodes“, sagt er. Manchmal überlässt er sogar einem Algorithmus das Graben, um eine bessere Ausbeute zu erzielen. Er hat ihn extra dazu programmiert.

Sicherheitsforscher und Passwortexperte Mark Burnett
© Privat

Im Schnitt kamen bei der Suche so täglich rund 1000 Benutzernamen und Passwörter zusammen. Anfang der Nullerjahre waren es nur einige wenige, alle einzeln und händisch aus dem Netz gezogen. Dann stieg die Zahl der Funde Stück für Stück an. In den letzten fünf Jahren sei sie explodiert, sagt Burnett.

Am Ende tat er schlicht das, was er für das Richtige hielt. Anfang der Woche stellte er einen Datensatz mit zehn Millionen Kombinationen aus Benutzernamen und Passwörtern ins Internet. Damit will der Sicherheitsexperte die Wissenschaft weiter bringen, zeigen, dass der Zusammenhang zwischen Passwörtern und Benutzernamen noch viel zu wenig erforscht ist — und er will ein Zeichen gegen das FBI setzen.

Denn was Burnett getan hat, klingt nach einem echten Verbrechen. Immer wieder sorgen große Hacks in der Öffentlichkeit für Aufregung. Kriminelle Banden und staatlich organisierte Gruppen stehlen massenhaft Zugangsdaten. Der Angriff auf Sony Pictures ist so ein Beispiel, oder auch die Attacke von russischen Hackern auf 420.000 Websites im vergangenen August. Mehr als eine Milliarde Passwörter erbeuteten die Täter damals. Aber Burnett ist kein Verbrecher, und ein Cyberspion ist er auch nicht. Obwohl er jetzt selbst für eine im Netz veröffentlichte Liste mit Zugangscodes verantwortlich ist, für jeden einsehbar. Befürworter der Aktion haben sogar schon das erste Tool entwickelt, um den Datensatz gezielt zu durchsuchen.

Der Müll des Internets besteht zu einem großen Teil aus Passwörtern von jedem von uns.

„Auf einmal haben sich viele Leute auf meinem Blog aufgeregt und mich als Idioten beschimpft, weil sie Angst um ihre Privatsphäre hatten“, beschreibt Burnett die Tage nach der Veröffentlichung der Liste. Immer wieder habe er diesen Kritikern gesagt: „Eure Zugangsdaten sind sowieso längst da draußen, ich habe sie nur in einen Datensatz gepackt.“ Er schrieb sogar ein ausführliches FAQ auf seiner Website, versuchte zu erklären, was er eigentlich bezweckte. „Das FBI hat gar keinen Grund, mich festzunehmen“, steht da unter anderem.

In der Tat hat Burnett versucht, die Daten so zu bearbeiten, dass sie nicht auf die einzelnen Nutzer zurückführbar sind. Er hat etwa E-Mail-Domains bei Benutzernamen entfernt, also die Anbieternamen hinter dem @-Symbol. Sein Ziel ist glaubwürdig. Es geht nicht darum, Hackern den Zugang zu den Konten von Privatleuten zu ermöglichen. Der Passwort-Messie ist der Überzeugung, dass Zugangscodes immer unsicherer werden, darüber hat er schon ganze Bücher geschrieben. Und die Zusammenhänge zwischen Passwort und Benutzername sind in seinen Augen für die Sicherheit von großer Bedeutung. „Unternehmen benutzen in zahlreichen Fällen Abkürzungen ihres Namens in ihren Passwörtern. Solche Regelmäßigkeiten fallen Hackern aber wahnsinnig schnell auf", sagt Burnett.

Die Müllkippen, auf denen er für seine Recherchen unterwegs ist, sind einfach über Google zu finden. Es sind online verfügbare Datenbanken auf Websites mit Namen wie Pastebin, Webcache oder Siph0n. Auch Foren sind eine gute Quelle für die Zugangsdaten: Crackingcore, passwordcastle oder Greyhat-Hacker-Foren etwa. All diese Seiten haben eine Sache gemein: In ihnen findet sich der Müll des Internets. Und dieser Müll besteht zu einem großen Teil aus Passwörtern von jedem von uns.

Die meisten Zugangsdaten stammen aus Hackerangriffen.

„Das ist ursprünglich illegales Material“, gibt Burnett zu. Es gelange auf die Seiten, weil die Zahl an Hackerangriffen auf Firmen- und Privatcomputer so stark angewachsen sei. „Bei den meisten dieser Angriffe geht es nicht um politischen oder wirtschaftlichen Schaden“, sagt der Programmierer. Es gehe um den „Show Off“. Junge Programmierer oder alteingesessene Hacker brechen in ein System ein und stehlen die Daten nur, um zu beweisen, dass sie da waren. Danach werden die Passwörter zur wertlosen Beute. 

Wertlose Beute, die sich zu riesigen Datenbergen im Web auftürmt. Natürlich sind viele der Passwörter und Benutzernamen längst überholt. Gerade aber Kombinationen von unerfahrenen Usern können durchaus noch immer aktiv sein. „Wenn sich jemand auf meiner Liste findet, kann er doch froh sein und direkt sein Passwort ändern“, sagt Burnett. Aber sein Datensatz hat noch einen weiteren Sinn und der führt zurück zum FBI.

Ein forschender Messie könnte bald das kleinste Problem für das FBI sein

Seit der Journalist Barrett Brown im vergangenen Jahr verhaftet und verurteilt wurde, weil er Datensätze verlinkte und mit ihnen recherchierte, die illegal von Anonymous geleakt worden waren, habe sich ein Unbehagen breitgemacht, sagt Burnett. „Kaum noch jemand traut sich mit solchen Daten zu arbeiten, egal ob Wissenschaftler oder Journalisten.“ Er selbst habe zwar Angst vor der Verhaftung, aber es sei nötig ein Zeichen zu setzen, nur so könne man in der Sicherheitsforschung weiterkommen.

Mit seinen zehn Millionen Passwörtern und Benutzernamen bewegt sich Burnett am Rande der Illegalität. Im Grunde zerrte er aber nur an die Öffentlichkeit, was ohnehin seit Jahren bekannt ist: Hacks passieren jeden Tag, und jeder kann betroffen sein. Burnett geht davon aus, dass es mittlerweile etwa 30 große Passwortdatenbanken im Internet gibt. Nicht nur Unternehmen werden gehackt: Manche Passwortforen beschäftigen sich zum Beispiel ausschließlich mit Game-Hacks, etwa für World of Warcraft oder Minecraft.

„Das Klischee vom 14-Jährigen, der mal eben ganze Datenbanken knackt stimmt in diesem Fall“, sagt Burnett. Einige der Nachwuchshacker wollen Rebellen sein, andere nur jemanden eins auswischen. Die Daten landen in jedem Fall auf dem Müll. Und dort können sie von jedem gefunden und ausgewertet werden. Ein forschender Messie ist also das kleineste Problem des FBIs.

GQ Empfiehlt
Mit einem Computerspiel zum Traumjob

Mit einem Computerspiel zum Traumjob

von Moritz Geier
Citizen Ex: Digital sind wir schon lange keine Staatsbürger mehr

Citizen Ex: Digital sind wir schon lange keine Staatsbürger mehr

von Max Biederbeck
US-Hacker kapern ein smartes Scharfschützengewehr

US-Hacker kapern ein smartes Scharfschützengewehr

von Benedikt Plass-Fleßenkämper
„Mit Unternehmen lässt sich reden, mit Staaten nicht“: Tor-Chefin Shari Steele im Interview

„Mit Unternehmen lässt sich reden, mit Staaten nicht“: Tor-Chefin Shari Steele im Interview

von Max Biederbeck