Araştırmacılar 3 Milyon Dolarlık Kripto Cüzdanının 11 Yıllık Şifresini Nasıl Kırdı?

Grant, WIRED’e gönderdiği bir e-postada şöyle diyor: “Parametrelerimiz ve zaman sınırımız doğru olduğu için şanslıydık. Bunlardan herhangi biri yanlış olsaydı, karanlıkta tahminler/çekimler yapmaya devam ederdik.” tüm olası şifreleri önceden hesaplamak için.”

Grant ve Bruno Bir video hazırladım Teknik detayları daha detaylı açıklamak gerekirse.

ABD merkezli Cyber ​​​​Systems tarafından üretilen RoboForm, piyasadaki ilk şifre yöneticilerinden biriydi. Şu anda 6 milyondan fazla kullanıcısı var Bir şirket raporuna göre küresel olarak. 2015 yılında Cyber, RoboForm Şifre Yöneticisini düzeltti. Üstünkörü bir bakışta Grant ve Bruno, 2015 versiyonundaki sözde rastgele sayı üretecinin bilgisayar zamanını kullandığına dair hiçbir belirti bulamıyorlar; kusuru düzeltmek için bunu kaldırdıklarını düşünüyorlar, ancak Grant araştırmaları gerektiğini söylüyor. Yine de tamamen emin olmak gerekiyor.

CyberSystems, WIRED’e, 10 Haziran 2015’te yayınlanan RoboForm’un 7.9.14 sürümündeki sorunu çözdüğünü doğruladı ancak bir sözcü, bunun nasıl yapıldığına ilişkin sorulara yanıt vermedi. A Değiştirmek Şirketin web sitesinde yalnızca siber programcıların “oluşturulan şifrelerin rastgeleliğini artırmak” için değişiklikler yaptığı belirtiliyor ancak bunu nasıl yaptıkları açıklanmıyor. Siber sözcü Simon Davies şunları söyledi: “Roboform 7, 2017 yılında durduruldu.”

Grant, saldırganların Cyber’in sorunu nasıl çözdüğünü bilmeden, RoboForm’un 2015’teki düzeltmeden önce yayımlanan sürümleri tarafından oluşturulan şifreleri yeniden oluşturabileceğini söylüyor. Ayrıca mevcut sürümlerde bir sorun olup olmadığını da bilmiyor.

“Son sürümlerde şifre oluşturmayı gerçekten nasıl iyileştirdiklerini bilmeden buna güvenebileceğimden hâlâ emin değilim” diyor. “Roboform’un bu zayıflığın ne kadar kötü olduğunu bilip bilmediğini bilmiyorum.”

Müşteriler, düzeltmeden önce programın önceki sürümleriyle oluşturulan parolaları hâlâ kullanıyor olabilir. 2015 yılında kararlı sürüm 7.9.14’ü piyasaya sürdüğünde Cyber, müşterilere her zaman hassas hesaplar veya veriler için yeni şifreler oluşturmaları gerektiğini bildiriyor gibiydi. Şirket bu konudaki sorulara yanıt vermedi.

Cyber ​​​​müşterileri bilgilendirmezse, 2015’ten önce şifre oluşturmak için RoboForm’u kullanan ve hala bu şifreleri kullanan Michael gibi herhangi biri, bilgisayar korsanlarının yeniden oluşturabileceği güvenlik açığı bulunan şifrelere sahip olabilir.

Grant, “Çoğu kişinin istenmediği sürece şifrelerini değiştirmediğini biliyoruz” diyor. “Şifre yöneticimdeki (roboform değil) 935 şifrenin 220’si 2015 ve öncesine ait, çoğu [for] Hala kullandığım siteler.”

Şirketin 2015 yılında sorunu çözmek için ne yaptığına bağlı olarak yeni şifreler de etkilenebilir.

Geçen Kasım ayında Grant ve Bruno, yaptıkları iş karşılığında Michael’ın hesabından bitcoinlerin bir yüzdesini kestiler ve geri kalanına erişim için bir şifre sağladılar. O zamanlar bir bitcoin 38.000 dolardı. Michael, kripto para başına 62.000 dolara yükselene kadar bekledi ve bir kısmını sattı. Şu anda 30 BTC’ye sahip, değeri 3 milyon dolar ve bir coinin değerinin 100.000 dolara çıkmasını bekliyor.

Michael, şifreyi yıllar önce kaybettiği için şanslı olduğunu, aksi takdirde Bitcoin’i 40.000 dolar değerindeyken satarken daha fazla şansını kaybedeceğini söylüyor.

“Şifremi kaybetmem finansal açıdan iyi bir şey.”