Grand y Bruno crearon un vídeo para explicar los detalles técnicos más a fondo.
RoboForm, fabricado por la estadounidense Siber Systems, fue uno de los primeros administradores de contraseñas del mercado y actualmente cuenta con más de 6 millones de usuarios en todo el mundo, según un informe de la empresa. En 2015, Siber pareció arreglar el administrador de contraseñas de RoboForm. En un vistazo rápido, Grand y Bruno no pudieron encontrar ninguna señal de que el generador de números pseudoaleatorios en la versión de 2015 usara el tiempo de la computadora, lo que les hace pensar que lo eliminaron para corregir la falla, aunque Grand dice que necesitarían examinarlo. más a fondo para estar seguro.
Siber Systems confirmó a WIRED que solucionó el problema con la versión 7.9.14 de RoboForm, lanzada el 10 de junio de 2015, pero un portavoz no respondió preguntas sobre cómo lo hizo. En un registro de cambios en el sitio web de la compañía, solo menciona que los programadores de Siber realizaron cambios para «aumentar la aleatoriedad de las contraseñas generadas», pero no dice cómo lo hicieron. El portavoz de Siber, Simon Davis, dice que «RoboForm 7 se suspendió en 2017».
Grand dice que, sin saber cómo solucionó Siber el problema, los atacantes aún pueden regenerar contraseñas generadas por versiones de RoboForm lanzadas antes de la solución en 2015. Tampoco está seguro de si las versiones actuales contienen el problema.
«Todavía no estoy seguro de confiar en él sin saber cómo mejoraron realmente la generación de contraseñas en versiones más recientes», dice. «No estoy seguro de si RoboForm sabía cuán grave era esta debilidad en particular».
Es posible que los clientes también sigan usando contraseñas que se generaron con las primeras versiones del programa antes de la solución. No parece que Siber haya notificado a los clientes cuando lanzó la versión corregida 7.9.14 en 2015 que debían generar nuevas contraseñas para cuentas o datos críticos. La empresa no respondió a una pregunta sobre esto.
Si Siber no informara a los clientes, esto significaría que cualquier persona como Michael que usó RoboForm para generar contraseñas antes de 2015 (y todavía las usa) puede tener contraseñas vulnerables que los piratas informáticos pueden regenerar.
«Sabemos que la mayoría de las personas no cambian las contraseñas a menos que se les solicite», dice Grand. “De las 935 contraseñas en mi administrador de contraseñas (no en RoboForm), 220 son de 2015 y anteriores, y la mayoría son [for] Sitios que todavía uso”.
Dependiendo de lo que hizo la empresa para solucionar el problema en 2015, las contraseñas más nuevas también pueden ser vulnerables.
En noviembre pasado, Grand y Bruno dedujeron un porcentaje de bitcoins de la cuenta de Michael por el trabajo que realizaron y luego le dieron la contraseña para acceder al resto. El bitcoin valía 38.000 dólares por moneda en ese momento. Michael esperó hasta que subiera a 62.000 dólares por moneda y vendió parte. Ahora tiene 30 BTC, que ahora valen 3 millones de dólares, y está esperando que el valor aumente a 100.000 dólares por moneda.
Michael dice que tuvo suerte de haber perdido la contraseña hace años porque, de lo contrario, habría vendido el bitcoin cuando valía 40.000 dólares la moneda y se habría perdido una fortuna mayor.
“Que haya perdido la contraseña fue algo bueno desde el punto de vista financiero”.
