Обнаружена уязвимость в старой версии менеджера паролей RoboForm

Инженер по кибернетике Джо Гранд вместе со своим другом Бруно обнаружили лазейку в старой версии менеджера паролей RoboForm, что позволило им восстановить $3 миллиона в BTC.

Хардварный хакер и инженер Джо Гранд вместе со своим другом, хакером-программистом Бруно, нашли уязвимость в старой версии менеджера паролей RoboForm, что позволило им восстановить миллионы долларов в Биткойнах.

В видео на YouTube, опубликованном 28 мая, Гранд объяснил, что в 2022 году к нему обратился Майкл, европейский владелец криптовалюты, который искал помощи, чтобы восстановить миллионы долларов в Биткойнах, застрявших на его компьютере, так как он потерял доступ к своему 20-символьному паролю, сгенерированному RoboForm и сохраненному в зашифрованном файле TrueCrypt.

Гранд и Бруно потратили месяцы на разбор старой версии RoboForm, которую использовал Майкл в 2013 году, когда создавал пароль к своему Биткоин-кошельку.

В результате они обнаружили, что одна из старых версий RoboForm имела уязвимость в способе генерации паролей, делая их предсказуемыми на основе даты и времени компьютера. К счастью для Майкла, его пароль был создан задолго до того, как RoboForm исправили ошибку.

Расследовательский журналист Ким Зеттер отметила в посте в Х, что `если любой из текущих 6 миллионов пользователей RoboForm использует пароли, сгенерированные старой версией до 2015 года, до того как компания тихо исправила уязвимость, их пароли могут быть взломаны таким же образом`. На момент публикации RoboForm не сделали никаких публичных заявлений по этому вопросу.

Это означает, что если любой из текущих 6 миллионов пользователей RoboForm использует пароли, сгенерированные менеджером паролей @roboform до 2015 года, до того как компания тихо исправила уязвимость, их пароли могут быть взломаны таким же образом. — Ким Зеттер (@KimZetter) 28 мая 2024 года

Сгенерировав миллионы паролей на основе временного промежутка, когда Майкл, предположительно, создал свой пароль, они начали брутфорсить, чтобы найти тот, который даст доступ к кошельку Майкла. Улучтив свой подход, Гранд и Бруно успешно обнаружили пароль, созданный 15 мая 2013 года в 16:10:40 (GMT), разблокировав 43,6 BTC Майкла, в настоящее время стоимостью около $3 миллионов.

Основатель Grand Idea Studio, Джо Гранд, электротехник, изобретатель и хардварный хакер, наиболее известен в криптовалютном сообществе своим взломом кошелька Trezor One в 2022 году, чтобы помочь его владельцу восстановить $2 миллиона в BTC. Гранд, который известен под хакерским псевдонимом `Kingpin`, имеет богатый опыт в хардварном хакинге и продолжает консультировать компании по улучшению их цифровой безопасности.