Grand ve Bruno, teknik detayları daha detaylı anlatmak için bir video hazırladılar.
ABD merkezli Siber Systems tarafından üretilen RoboForm, piyasadaki ilk şifre yöneticilerinden biriydi ve bir şirket raporuna göre şu anda dünya çapında 6 milyondan fazla kullanıcıya sahip. 2015 yılında Siber, RoboForm şifre yöneticisini düzeltmiş gibi görünüyordu. Grand ve Bruno üstünkörü bir bakışta, 2015 versiyonundaki sahte rastgele sayı üretecinin bilgisayarın zamanını kullandığına dair herhangi bir işaret bulamadılar, bu da onlara kusuru düzeltmek için onu kaldırdıklarını düşündürdü, ancak Grand incelemeleri gerektiğini söylüyor emin olmak daha ayrıntılıdır.
Siber Systems, WIRED’e sorunu 10 Haziran 2015’te yayınlanan RoboForm’un 7.9.14 sürümüyle çözdüğünü doğruladı, ancak bir sözcü bunu nasıl yaptığına ilişkin soruları yanıtlamadı. Şirketin web sitesindeki değişiklik günlüğünde yalnızca Siber programcılarının “oluşturulan şifrelerin rastgeleliğini artırmak için” değişiklikler yaptıklarından bahsediliyor ancak bunu nasıl yaptıkları yazmıyor. Siber sözcüsü Simon Davis, “RoboForm 7’nin 2017 yılında durdurulduğunu” söylüyor.
Grand, Siber’in sorunu nasıl çözdüğünü bilmeden saldırganların RoboForm’un 2015’teki düzeltmeden önce yayımlanan sürümleri tarafından oluşturulan şifreleri hâlâ yeniden oluşturabileceklerini söylüyor. Ayrıca mevcut sürümlerin sorunu içerip içermediğinden de emin değil.
“Daha yeni sürümlerde şifre oluşturmayı gerçekte nasıl geliştirdiklerini bilmeden ona güvenebileceğimden hâlâ emin değilim” diyor. “RoboForm’un bu zayıflığın ne kadar kötü olduğunu bildiğinden emin değilim.”
Müşteriler ayrıca düzeltmeden önce programın önceki sürümleriyle oluşturulan parolaları hâlâ kullanıyor olabilir. Siber’in, 2015 yılında sabit 7.9.14 sürümünü yayınladığında müşterilere, kritik hesaplar veya veriler için yeni şifreler oluşturmaları gerektiğini bildirdiği görülmemektedir. Şirket bu konuyla ilgili bir soruya yanıt vermedi.
Siber müşterileri bilgilendirmediyse bu, Michael gibi 2015’ten önce şifre oluşturmak için RoboForm’u kullanan ve hala bu şifreleri kullanan herhangi birinin, bilgisayar korsanlarının yeniden oluşturabileceği güvenlik açığı bulunan şifrelere sahip olabileceği anlamına gelir.
Grand, “Çoğu kişinin, istenmedikçe şifrelerini değiştirmediğini biliyoruz” diyor. “Şifre yöneticimdeki (RoboForm değil) 935 şifreden 220’si 2015 ve öncesinden kalma ve çoğu da [for] hala kullandığım siteler.”
Şirketin 2015 yılında sorunu çözmek için ne yaptığına bağlı olarak yeni şifreler de saldırıya açık olabilir.
Geçen Kasım ayında Grand ve Bruno, yaptıkları iş karşılığında Michael’ın hesabından bitcoinlerin bir kısmını kestiler ve geri kalanına erişmesi için ona şifreyi verdiler. O zamanlar bitcoin, madeni para başına 38.000 dolardı. Michael, kripto para başına 62.000 dolara yükselene kadar bekledi ve bir kısmını sattı. Şu anda 3 milyon dolar değerinde 30 BTC’si var ve değerin token başına 100.000 dolara çıkmasını bekliyor.
Michael, şifreyi yıllar önce kaybettiği için şanslı olduğunu çünkü aksi takdirde Bitcoin’i 40.000 dolar değerindeyken satıp daha büyük bir serveti kaçıracağını söylüyor.
“Şifreyi kaybetmem mali açıdan iyi bir şeydi.”