E non è forse quello l'obiettivo della sicurezza informatica? Quello di trovare problemi nella sicurezza di un sistema per migliorarlo e renderlo più sicuro? Tenere un'informazione sensibile all'oscuro mette solo a rischio chi ne è afflitto, e se il tuo scopo è quello di tenere le persone all'oscuro di questi difetti per un tornaconto personale allora neanche te sei un hacker, sei semplicemente un criminale.
Hai mai letto il jargon file? Mai sentito parlare di etica, condivisione, e passione comune? Un hacker condivide le proprie scoperte con i suoi contatti e "colleghi", non siamo più negli anni dove gli appassionati di sicurezza si ritrovano solo su chat IRC nelle ore notturne, con tutti i milioni di appassionati di sicurezza al mondo c'è un flusso costante di informazioni che vengono scambiate liberamente online e di persona con il motivo di rendere la community più ricca e di condividere conoscenza, perchè le persone a cui interessa questa materia sono aperte mentalmente e felici di condividere i risultati delle loro ricerche con chi li sa apprezzare e con chi ha il potere di costruirci sopra una difesa migliore.
Nessuno può andare in galera per documentare un problema di sicurezza trovato in un programma accessibile al pubblico, potresti tranquillamente scaricartelo su una macchina tua, trovare e replicare il problema localmente in perfetta legalità, documentando il funzionamento della falla e spiegando come un attaccante possa sfruttarla in un vero attacco, come pensi sia possibile rilasciare exploit e migliaia su migliaia di blog su di essi senza che nessuno degli autori vada in galera?
Dai, smettiamola di prenderci in giro, dopotutto quello che avevi scritto all'inizio era letteralmente:
A parte gli sniffer che non so cosa c'entrino con l'argomento, quindi tutto quello che mi serve per trovare questi log pieni di credenziali di accesso è un programma come wfuzz, dirb, dirbuster, gobuster, o burp, eppure se è un problema così diffuso come dici tu al punto di essere il modo più semplice per fare dump di password mi stupisco di non averne mai sentito parlare in nessuno libro di pentesting o articolo sull'enumerazione web. Quindi, te lo chiedo di nuovo, hai qualche link di riferimento dove almeno si accenna a qualcosa del genere, oppure non abbiamo manco una singola prova concreta nell'intera community? Non chiedo che sia scritto da te, ma voglio qualcosa, qualsiasi cosa, che evidenzi l'esistenza di questo tipo di file.