.
Grand e Bruno criaram um vídeo para explicar mais detalhadamente os detalhes técnicos.
O RoboForm, fabricado pela Siber Systems, com sede nos EUA, foi um dos primeiros gerenciadores de senhas do mercado e atualmente tem mais de 6 milhões de usuários em todo o mundo, de acordo com um relatório da empresa. Em 2015, a Siber pareceu consertar o gerenciador de senhas RoboForm. Em uma rápida olhada, Grand e Bruno não conseguiram encontrar nenhum sinal de que o gerador de números pseudo-aleatórios na versão 2015 usasse o tempo do computador, o que os faz pensar que o removeram para corrigir a falha, embora Grand diga que precisariam examinar mais detalhadamente para ter certeza.
A Siber Systems confirmou à WIRED que corrigiu o problema com a versão 7.9.14 do RoboForm, lançada em 10 de junho de 2015, mas um porta-voz não respondeu a perguntas sobre como isso aconteceu. Em um changelog no site da empresa, menciona apenas que os programadores da Siber fizeram alterações para “aumentar a aleatoriedade das senhas geradas”, mas não diz como fizeram isso. O porta-voz da Siber, Simon Davis, diz que “o RoboForm 7 foi descontinuado em 2017”.
Grand diz que, sem saber como a Siber corrigiu o problema, os invasores ainda poderão regenerar senhas geradas por versões do RoboForm lançadas antes da correção em 2015. Ele também não tem certeza se as versões atuais contêm o problema.
“Ainda não tenho certeza se confiaria nele sem saber como eles realmente melhoraram a geração de senhas em versões mais recentes”, diz ele. “Não tenho certeza se o RoboForm sabia o quão ruim era essa fraqueza específica.”
Os clientes também podem ainda usar senhas geradas nas versões anteriores do programa antes da correção. Parece que a Siber nunca notificou os clientes quando lançou a versão fixa 7.9.14 em 2015 que eles deveriam gerar novas senhas para contas ou dados críticos. A empresa não respondeu a uma pergunta sobre isso.
Se a Siber não informasse os clientes, isso significaria que qualquer pessoa como Michael, que usou o RoboForm para gerar senhas antes de 2015 – e ainda usa essas senhas – pode ter senhas vulneráveis que os hackers podem regenerar.
“Sabemos que a maioria das pessoas não altera as senhas a menos que seja solicitada”, diz Grand. “Das 935 senhas em meu gerenciador de senhas (não no RoboForm), 220 delas são de 2015 e anteriores, e a maioria delas são [for] sites que ainda uso.”
Dependendo do que a empresa fez para corrigir o problema em 2015, as senhas mais recentes também podem ser vulneráveis.
Em novembro passado, Grand e Bruno deduziram uma porcentagem de bitcoins da conta de Michael pelo trabalho que realizaram e depois deram a ele a senha para acessar o restante. O bitcoin valia US$ 38.000 por moeda na época. Michael esperou até que o valor subisse para US$ 62.000 por moeda e vendeu parte dela. Ele agora tem 30 BTC, agora valendo US$ 3 milhões, e está esperando que o valor suba para US$ 100.000 por moeda.
Michael diz que teve sorte de ter perdido a senha anos atrás porque, caso contrário, ele teria vendido o bitcoin quando valia US$ 40.000 por moeda e perdido uma fortuna maior.
“O fato de eu ter perdido a senha foi uma coisa financeiramente boa.”
.
