“Alla fine siamo stati fortunati che i nostri parametri e l’intervallo di tempo fossero corretti. Se uno di questi fosse sbagliato, avremmo… continuato a fare ipotesi/inquadrature nell’oscurità”, afferma Grand in un’e-mail a WIRED. “Ci sarebbe voluto molto più tempo per precalcolare tutte le password possibili.”
Grand e Bruno hanno creato un video per spiegare in modo più approfondito i dettagli tecnici.
RoboForm, prodotto dalla statunitense Siber Systems, è stato uno dei primi gestori di password sul mercato e attualmente conta più di 6 milioni di utenti in tutto il mondo, secondo un rapporto dell’azienda. Nel 2015, Siber sembrava aver corretto il gestore password RoboForm. Con una rapida occhiata, Grand e Bruno non sono riusciti a trovare alcun segno che il generatore di numeri pseudo-casuali nella versione del 2015 utilizzasse l’ora del computer, il che li fa pensare di averlo rimosso per correggere il difetto, anche se Grand dice che avrebbero bisogno di esaminare è più approfondito per esserne certi.
Siber Systems ha confermato a WIRED di aver risolto il problema con la versione 7.9.14 di RoboForm, rilasciata il 10 giugno 2015, ma un portavoce non ha voluto rispondere alle domande su come ciò sia avvenuto. In un registro delle modifiche sul sito Web dell’azienda, si menziona solo che i programmatori Siber hanno apportato modifiche per “aumentare la casualità delle password generate”, ma non viene detto come hanno fatto ciò. Il portavoce di Siber Simon Davis afferma che “RoboForm 7 è stato interrotto nel 2017”.
Grand afferma che, senza sapere come Siber ha risolto il problema, gli aggressori potrebbero comunque essere in grado di rigenerare le password generate dalle versioni di RoboForm rilasciate prima della correzione nel 2015. Inoltre, non è sicuro che le versioni attuali contengano il problema.
“Non sono ancora sicuro che mi fiderei senza sapere come hanno effettivamente migliorato la generazione delle password nelle versioni più recenti”, afferma. “Non sono sicuro che RoboForm sapesse quanto fosse grave questa particolare debolezza.”
È inoltre possibile che i clienti utilizzino ancora password generate con le prime versioni del programma prima della correzione. Non sembra che Siber abbia mai informato i clienti quando ha rilasciato la versione fissa 7.9.14 nel 2015 che avrebbero dovuto generare nuove password per account o dati critici. L’azienda non ha risposto a una domanda al riguardo.
Se Siber non informasse i clienti, ciò significherebbe che chiunque come Michael abbia utilizzato RoboForm per generare password prima del 2015 (e stia ancora utilizzando quelle password) potrebbe avere password vulnerabili che gli hacker possono rigenerare.
“Sappiamo che la maggior parte delle persone non modifica le password a meno che non venga loro richiesto di farlo”, afferma Grand. “Su 935 password nel mio gestore password (non RoboForm), 220 sono del 2015 e precedenti e la maggior parte sono [for] siti che uso ancora.”
A seconda di ciò che l’azienda ha fatto per risolvere il problema nel 2015, anche le password più recenti potrebbero essere vulnerabili.
Lo scorso novembre, Grand e Bruno hanno detratto una percentuale di bitcoin dal conto di Michael per il lavoro svolto, poi gli hanno dato la password per accedere al resto. All’epoca il bitcoin valeva 38.000 dollari per moneta. Michael ha aspettato finché non è salito a $ 62.000 per moneta e ne ha venduto una parte. Ora ha 30 BTC, che ora valgono 3 milioni di dollari, e sta aspettando che il valore salga a 100.000 dollari per moneta.
Michael dice di essere stato fortunato ad aver perso la password anni fa perché, altrimenti, avrebbe venduto il bitcoin quando valeva 40.000 dollari a moneta e avrebbe perso una fortuna maggiore.
“Il fatto di aver perso la password è stata una buona cosa dal punto di vista finanziario.”