Michael sagt, die Hacker hätten ihn immer wieder gefragt, ob er sich über die von ihm verwendeten Parameter sicher sei. Irgendwann jedoch wurde der Mann fündig andere Passwörter die er 2013 mit RoboForm generiert hatte, und zwar in zwei Fällen sie hatten keine Sonderzeichen. Also passten Grand und sein Mitarbeiter das Ziel an. Letzten November kontaktierten sie Michael, um ein persönliches Treffen zu vereinbaren: „Ich dachte: „Oh mein Gott, sie werden mich noch einmal fragen, ob ich mir bei den Parametern sicher bin.““. Stattdessen offenbarten ihm die beiden, dass sie es endlich getan hatten Ich habe das richtige Passwort gefunden, das tatsächlich keine Sonderzeichen enthielt. Es wurde am 15. Mai 2013 um 16:10:40 GMT generiert. “Am Ende war das unser Glück Die Unsere Parameter und unser Zeitintervall waren korrekt. Wenn irgendetwas davon falsch gewesen wäre, hätten wir ohne großen Erfolg weiter geraten oder geschossen – erklärt Grand a Kabelgebundene USA –. Es hätte viel länger gedauert, alle möglichen Passwörter auszuprobieren“. Die Hacker haben ein Video auf YouTube hochgeladen, in dem sie alle technischen Details des Kunststücks erklärten.
Der Passwortgenerator
RoboFormeine Software des amerikanischen Unternehmens Siber Systems einer der ersten Passwort-Manager auf dem Markt und hat einem Unternehmensbericht zufolge derzeit weltweit mehr als 6 Millionen Nutzer. Im Jahr 2015 scheint Siber die Mängel seines Systems behoben zu haben. Tatsächlich erklären Grand und Bruno, dass spätere Versionen des Programms offenbar keine Passwörter mehr mit dem Datum des Computers verknüpfen. Siber Systems bestätigte a WiredUS dass sie das Problem mit der am 10. Juni 2015 veröffentlichten Version 7.9.14 von RoboForm behoben haben, obwohl ein Unternehmenssprecher sich weigerte, zu erklären, wie. In einem Changelog auf der Website des Unternehmens lesen wir lediglich, dass Siber-Programmierer Änderungen vorgenommen haben „Erhöhen Sie die Zufälligkeit generierter Passwörter”.
Grand erklärte, dass ich Cyberkriminelle könnten die Passwörter dennoch zurückverfolgen von RoboForm-Versionen, die vor dem Fix 2015 veröffentlicht wurden. Darüber hinaus ist es nicht ganz sicher, dass aktuelle Versionen das gleiche Problem nicht mehr enthalten. “Ich glaube nicht, dass ich ihm vertrauen würdeohne zu wissen, wie sie die Passwortgenerierung in neueren Versionen tatsächlich verbessert haben – sagt der Hacker –. Ich bin mir nicht einmal sicher, ob RoboForm wusste, wie schwerwiegend diese besondere Schwäche war“. Anscheinend hat Siber bei der Veröffentlichung der Version 7.9.14 im Jahr 2015 seinen Nutzern offenbar nie mitgeteilt, dass sie neue Passwörter generieren müssten. Dies bedeutet, dass alle, die RoboForm verwendet haben, wie Michael dies getan haben Generieren Sie Passwörter vor 2015 könnte sein verletzlich zu Cyberangriffen.
„Die meisten Leute ändern ihre Passwörter nicht sofern nicht ausdrücklich danach gefragt – sagt Grand –. Das Gleiche gilt auch für mich: DVon den 935 Passwörtern in meinem Passwort-Manager (der nicht RoboForm ist) stammen 220 aus dem Jahr 2015 oder früher und die meisten davon Websites, die ich immer noch verwende“. Im vergangenen November zogen Grand und Bruno als Entschädigung für ihre Arbeit einen Prozentsatz der wiederhergestellten Bitcoins von Michaels Konto ab und gaben ihm dann das Passwort für den Zugriff auf seine Brieftasche. Jetzt besitzt der Mensch 30 BTC im Wert von 3 Millionen US-Dollarund sagt, er habe Glück gehabt, sein Passwort vor Jahren verloren zu haben, denn sonst hätte er seine Bitcoins verkauft Als sie 40.000 Dollar pro Stück wert waren, entging ihnen ein großer Gewinn.
Dieser Artikel erschien zuvor auf Wired Us.
