Perché l’FBI non deve arrestarmi. Dieci milioni di password online.

Mark Burnett, un ricercatore americano di cybersecurity, ha pubblicato sul suo blog 10 milioni di password con relativi nomi utente. “Studenti e ricercatori di sicurezza – ha spiegato – mi chiedono spesso una copia dei database che uso per le mie attività di ricerca sulla sicurezza delle password. Conoscere le password più diffuse e le loro relazioni con i nomi utente ci dice molto del comportamento online delle persone, e può aiutarci a studiare soluzioni di sicurezza più efficaci”.

Ma Burnett non è sereno. La recente condanna del giornalista americano Barrett Brown a 63 mesi di prigione lo spinge a mettere le mani avanti. Brown aveva pubblicato in alcuni canali di chat del materiale di un’inchiesta su un gruppo di militari, agenti governativi e contractor del settore della sicurezza che stavano organizzando azioni di intelligence per screditare Wikileaks e il giornalista Glenn Greenwald (quello del Datagate). In quel materiale, ottenuto da Anonymous e messo in rete, c’erano anche password e numeri di carte di credito. L’FBI ha utilizzato questo pretesto per arrestare il giornalista, configurando la sua azione divulgativa come supporto al furto d’identità e di dati finanziari.

Ricordando questi eventi (che la stampa ha in larga parte taciuto sia negli USA che in Europa), Mark Burnett ha accompagnato il suo database di 10 milioni di credenziali con un lungo testo in cui argomenta perché l’FBI dovrebbe lasciarlo in pace. In sintesi, Burnett afferma di aver raccolto le credenziali online in un arco temporale di dieci anni, di essere sicuro che molti account non siano più utilizzati, di aver rimosso le informazioni che potrebbero portare a identificare l’account, di aver cancellato le informazioni riguardanti account militari o di agenti dai sicurezza, ecc. Burnett segnala anche che una proposta della Casa Bianca di modifica del Computer Fraud and Abuse Act potrebbe mettere ulteriormente nei guai giornalisti e ricercatori. La modifica infatti abolirebbe la condizione della “intenzione di compiere una frode” per configurare il reato di traffico di dati, impattanto fortemente il diritto di espressione e il diritto di cronaca.

In segno di solidarietà con Mark Burnett sono comparsi su Twitter alcuni account che postano in automatico le credenziali pubblicate dal ricercatore.