Seorang peneliti keamanan telah merilis 10 juta pasang username dan password ke publik, yang dikumpulkan dari berbagai penyimpangan data selama beberapa dekade terakhir untuk tujuan penelitian.
Namun, Mark Burnett, seorang konsultan keamanan terkenal mengatakan keputusannya untuk mempublikasikan kumpulan password itu memang sangat berisiko, tetapi diperlukan untuk membantu peneliti keamanan.
MENGAPA PENELITI BERSEDIA UNTUK BERBAGI PASSWORD?
Para peneliti mengatakan kumpulan password dan username ini dirilis sebagai contoh data, yang penting bagi peneliti lain untuk menganalisis dan memberikan wawasan perilaku pengguna serta menjadikan nilai untuk mendorong tingkat keamanan password.
Juga, peneliti sering menerima banyak permintaan dari mahasiswa dan peneliti keamanan lainnya untuk menyerahkan salinan data penelitian untuk analisis password mereka sendiri.
APA YANG DITAKUTKAN DENGAN BERBAGI PENELITIANNYA?
Pada saat itu, ia biasanya menolak untuk berbagi password karena ia khawatir bahwa jika ia melakukannya, mungkin akan membahayakan dirinya seperti yang baru-baru ini terjadi yaitu hukuman lima tahun yang diberikan kepada mantan aktivis Anonymous dan wartawan Barrett Brown, karena berbagi hyperlink ke IRC (Internet Relay Chat) saluran di mana anggota Anonymous menyebarkan informasi curian hasil aktivitas hack.
Namun, pada saat yang sama, Burnett tetap membagikan kumpulan password itu dengan dunia penelitian untuk mempelajari bagaimana orang memilih password.
"Saya pikir ini benar-benar tidak masuk akal bahwa saya harus menulis seluruh artikel untuk membenarkan peluncuran data ini karena takut dituntut atau melanggar hukum," tulisnya dalam posting blog yang diterbitkan pada hari Senin.
"Saya ingin menulis sebuah artikel tentang data tersebut tapi saya harus melakukannya nanti karena saya harus menulis ini untuk mencoba meyakinkan FBI agar tidak menyerang saya."
DARIMANA SERTIFIKAT BERASAL?
Burnett telah mengumpulkan data dari penyimpangan data yang besar pada perusahaan-perusahaan besar termasuk meretas data Adobe dan Stratfor, yang sudah tersedia untuk umum di Internet, yang dapat dengan mudah ditemukan melalui pencarian web.
Menurut peneliti, sebagian besar kebocoran password "mati", yang berarti mereka sudah berubah, dan dia juga telah mengambil informasi lain seperti nama domain untuk membuatnya tidak dapat digunakan oleh para penjahat cyber dan hacker jahat. Namun, nama pengguna atau sandi yang ditemukan dalam daftar yang digunakan harus segera diganti.
Burnett juga menjelaskan fakta bahwa ia tidak seharusnya ditangkap oleh aparat penegak hukum.
MENGAPA FBI TIDAK SEHARUSNYA MENANGKAP SAYA?
"Meskipun peneliti biasanya hanya mempublikasikan password, saya mempublikasikan nama pengguna dengan kata sandinya. Analisa nama pengguna dengan password merupakan sesuatu yang telah diabaikan oleh sebagian besar peneliti dan dapat memberikan banyak wawasan untuk mempelajari password," tulis Burnett.
"Kebanyakan peneliti takut untuk mempublikasikan nama pengguna dan password bersama-sama. Jika hanya terhubung ke fitur otentikasi yang telah dirilis di channel pribadi IRC akan dianggap trafficking, FBI pasti akan meninjau data tersebut sebagai kejahatan."
Hampir 10 juta password yang dirilis oleh para peneliti, misalnya, dapat membantu para peneliti lain untuk menentukan seberapa sering pengguna menggunakan semua atau sebagian dari nama pengguna mereka sebagai password. Namun, 10 juta adalah angka yang sangat besar, tapi Burnett mengatakan bahwa semua data tersebut sudah tersedia secara online.
Sumber : thehackernews.com
Memang, kegiatan peretasan di dunia internet masih sering terjadi. Bahkan, baru-baru ini terdapat kabar bahwa para hacker berhasil menggondol USD 1 miliar dari 100 bank di dunia.
ReplyDeletenice info
ReplyDelete