كيف تمكن الباحثون من فك كلمة مرور عمرها 11 عامًا لمحفظة تشفير بقيمة 3 ملايين دولار
أنشأ غراند وبرونو مقطع فيديو لشرح التفاصيل الفنية بشكل أكثر دقة.
كان RoboForm، الذي صنعته شركة Siber Systems ومقرها الولايات المتحدة، واحدًا من أوائل برامج إدارة كلمات المرور في السوق، ويضم حاليًا أكثر من 6 ملايين مستخدم حول العالم، وفقًا لتقرير الشركة. في عام 2015، بدا أن Siber قام بإصلاح مدير كلمات المرور RoboForm. في نظرة خاطفة، لم يتمكن غراند وبرونو من العثور على أي علامة تشير إلى أن مولد الأرقام العشوائية الزائفة في إصدار 2015 استخدم وقت الكمبيوتر، مما جعلهما يعتقدان أنهما قاما بإزالته لإصلاح الخلل، على الرغم من أن غراند يقول إنهما سيحتاجان إلى فحصه. إنه أكثر دقة للتأكد.
أكدت Siber Systems لـ WIRED أنها أصلحت المشكلة في الإصدار 7.9.14 من RoboForm، الذي تم إصداره في 10 يونيو 2015، لكن المتحدث الرسمي لم يجيب على الأسئلة حول كيفية القيام بذلك. في سجل التغيير الموجود على موقع الشركة على الويب، يذكر فقط أن مبرمجي سيبر أجروا تغييرات من أجل “زيادة العشوائية في كلمات المرور التي تم إنشاؤها”، لكنه لا يذكر كيف فعلوا ذلك. يقول المتحدث باسم سيبر، سيمون ديفيس، إنه “تم إيقاف RoboForm 7 في عام 2017”.
يقول جراند إنه بدون معرفة كيفية إصلاح Siber للمشكلة، قد يظل المهاجمون قادرين على إعادة إنشاء كلمات المرور التي تم إنشاؤها بواسطة إصدارات RoboForm التي تم إصدارها قبل الإصلاح في عام 2015. كما أنه ليس متأكدًا مما إذا كانت الإصدارات الحالية تحتوي على المشكلة.
ويقول: “ما زلت غير متأكد من أنني سأثق به دون أن أعرف كيف قاموا فعليًا بتحسين عملية إنشاء كلمات المرور في الإصدارات الأحدث”. “لست متأكدًا مما إذا كان RoboForm يعرف مدى سوء هذا الضعف بالتحديد.”
وربما يستمر العملاء أيضًا في استخدام كلمات المرور التي تم إنشاؤها باستخدام الإصدارات الأولى من البرنامج قبل الإصلاح. لا يبدو أن Siber أخطرت العملاء على الإطلاق عندما أصدرت الإصدار الثابت 7.9.14 في عام 2015 بضرورة إنشاء كلمات مرور جديدة للحسابات أو البيانات المهمة. ولم ترد الشركة على سؤال حول هذا الموضوع.
إذا لم تقم سيبر بإبلاغ العملاء، فهذا يعني أن أي شخص مثل مايكل استخدم RoboForm لإنشاء كلمات مرور قبل عام 2015 – وما زال يستخدم كلمات المرور هذه – قد يكون لديه كلمات مرور ضعيفة يمكن للمتسللين إعادة إنشائها.
يقول جراند: “نحن نعلم أن معظم الأشخاص لا يغيرون كلمات المرور إلا إذا طُلب منهم القيام بذلك”. “من بين 935 كلمة مرور في مدير كلمات المرور الخاص بي (وليس RoboForm)، 220 منها تعود إلى عام 2015 وما قبله، ومعظمها [for] المواقع التي مازلت أستخدمها.”
اعتمادًا على ما فعلته الشركة لإصلاح المشكلة في عام 2015، قد تكون كلمات المرور الأحدث معرضة للخطر أيضًا.
وفي نوفمبر الماضي، قام غراند وبرونو بخصم نسبة من عملات البيتكوين من حساب مايكل مقابل العمل الذي قاما به، ثم أعطاه كلمة المرور للوصول إلى الباقي. كانت قيمة عملة البيتكوين تبلغ 38000 دولار لكل عملة في ذلك الوقت. انتظر مايكل حتى ارتفع سعر العملة الواحدة إلى 62 ألف دولار وقام ببيع جزء منها. لديه الآن 30 بيتكوين، تبلغ قيمتها الآن 3 ملايين دولار، وينتظر أن ترتفع القيمة إلى 100000 دولار لكل عملة.
يقول مايكل إنه كان محظوظًا لأنه فقد كلمة المرور منذ سنوات لأنه، لولا ذلك، لكان قد باع عملة البيتكوين عندما كانت قيمتها 40 ألف دولار للعملة المعدنية وخسر ثروة أكبر.
“لقد كان فقدان كلمة المرور أمرًا جيدًا من الناحية المالية.”
اكتشاف المزيد من مدونة الواحة
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.