Michael racconta che gli hacker continuavano a tornare da lui per chiedergli se fosse sicuro dei parametri che aveva usato. A un certo punto, l’uomo ha però trovato altre password che aveva generato con RoboForm nel 2013, che in due casi non avevano caratteri speciali. Così, Grand e il suo collaboratore hanno aggiustato il tiro. Lo scorso novembre hanno contattato Michael per fissare un incontro di persona: “Ho pensato: ‘Oh mio Dio, mi chiederanno di nuovo se sono sicuro dei parametri’“. Invece, i due gli hanno rivelato di aver finalmente trovato la password corretta, che in effetti non aveva caratteri speciali. Era stata generata il 15 maggio 2013, alle 16:10:40 Gmt. “Alla fine la nostra fortuna è stata che i nostri parametri e l’intervallo di tempo fossero corretti. Se uno di questi fosse stato sbagliato, avremmo continuato a tirare a indovinare o a sparare nel mucchio senza grandi risultati – spiega Grand a Wired US –. Ci sarebbe voluto molto più tempo per provare tutte le password possibili“. Gli hacker hanno caricato un video su Youtube in cui hanno spiegato tutti i dettagli tecnici dell’impresa.
Il generatore di password
RoboForm, un software prodotto dalla statunitense Siber Systems, è stato uno dei primi password manager sul mercato e attualmente conta più di 6 milioni di utenti nel mondo, secondo un report dell’azienda. Nel 2015, Siber sembra aver corretto le imperfezioni del suo sistema. In effetti, Grand e Bruno spiegano che le versioni successive del programma non sembrano associare le password alla la data del computer. Siber Systems ha confermato a Wired US di aver risolto il problema con la versione 7.9.14 di RoboForm distribuita il 10 giugno 2015, anche se un portavoce dell’azienda non ha voluto spiegare come. In un changelog sul sito web della società, si legge solo che i programmatori di Siber hanno apportato modifiche per “aumentare la casualità delle password generate”.
Grand ha spiegato che i cybercriminali potrebbero comunque risalire alle password delle versioni di RoboForm rilasciate prima della correzione del 2015. Inoltre, non è del tutto sicuro che le versioni attuali non contengano più lo stesso problema. “Non credo che mi fiderei, senza sapere come hanno effettivamente migliorato la generazione delle password nelle versioni più recenti – afferma l’hacker –. Non sono sicuro neanche che RoboForm sapesse quanto fosse grave questa particolare debolezza“. A quanto pare, infatti, quando nel 2015 ha rilasciato la versione 7.9.14, Siber non ha mai comunicato ai suoi utenti che avrebbero dovuto generare nuove password. Questo significa che tutti quelli che come Michael hanno usato RoboForm per generare password prima del 2015 potrebbero essere vulnerabili ad attacchi informatici.
“La maggior parte delle persone non cambia le password a meno che non gli venga esplicitamente chiesto – dice Grand –. Lo stesso vale per me: delle 935 password presenti nel mio gestore di password (che non è RoboForm), 220 risalgono al 2015 o prima, e la maggior parte sono di siti che uso ancora”. Lo scorso novembre, Grand e Bruno hanno detratto una percentuale dei bitcoin recuperati dal conto di Michael come compenso per il lavoro svolto, e quindi gli hanno comunincato la password per accedere al suo wallet. Ora l’uomo possiede 30 Btc, del valore 3 milioni di dollari, e dice di essere stato fortunato ad aver perso la password anni fa, perché altrimenti avrebbe venduto i suoi bitcoin quando valevano 40mila dollari al pezzo, perdendosi un gran bel guadagno.
Questo articolo è precedentemente apparso su Wired Us.
Fonte : Wired
