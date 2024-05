Onderzoekers zijn erin geslaagd om via een kwetsbaarheid in wachtwoordmanager RoboForm het 11-jaar oude wachtwoord van een cryptowallet te achterhalen die drie miljoen dollar aan bitcoin bevat. Dat laten ze zien in een YouTube-video. De eigenaar van de wallet had in 2013 via RoboForm een wachtwoord gegenereerd en die in een door TrueCrypt versleuteld bestand opgeslagen. Op een gegeven moment raakte het bestand corrupt en had de eigenaar geen toegang meer tot het twintig karakters tellende wachtwoord en daarmee de bijna 44 bitcoin in zijn wallet.

De eigenaar had het wachtwoord wel via RoboForm gegenereerd, maar hier niet in opgeslagen uit angst dat iemand toegang tot zijn computer en zo zijn wachtwoord zou krijgen. De versie van RoboForm die de wallet-eigenaar in 2013 gebruikte bevatte een kwetsbaarheid in de pseudo-random number generator gebruikt voor het genereren van wachtwoorden. Door dit beveiligingslek waren wachtwoorden niet zo willekeurig.

RoboForm gebruikte de datum en tijd op de computer voor het genereren van het wachtwoord. Wanneer de datum en tijd bekend waren, alsmede verschillende andere parameters, was het mogelijk om het wachtwoord te berekenen. De eigenaar wist echter niet meer precies wanneer hij het wachtwoord had gemaakt. Op basis van loggegevens was duidelijk dat de bitcoins op 14 april 2013 in de wallet werden opgeslagen.

De onderzoekers besloten op basis van de parameters van andere wachtwoorden die de eigenaar via RoboForm had gegenereerd de wachtwoordmanager zo te configureren om een wachtwoord met kleine letters, hoofdletters, cijfers en acht speciale tekens te genereren voor de periode van 1 maart tot en met 20 april 2013. Dit bleek geen succes. Daarop werd er gekozen voor de periode 20 april tot 1 juni 2013. Wederom zonder succes.

Uiteindelijk lukte het de onderzoekers het wachtwoord te achterhalen. Dit was op 15 mei gemaakt en bevatte geen speciale tekens. Twee van de wachtwoorden die de eigenaar in 2013 met RoboForm had gemaakt hadden ook geen speciale tekens. De onderzoekers stellen tegenover Wired dat ze uiteindelijk geluk hadden met de juiste parameters. RoboForm verklaart tegenover het magazine dat de kwetsbaarheid met de versie van 10 juni 2015 is verholpen.

De onderzoekers waarschuwen dat zonder te weten hoe het probleem is verholpen, aanvallers nog steeds wachtwoorden kunnen achterhalen die door RoboForm zijn gemaakt voor het uitkomen van de fix in 2015. Daarnaast zeggen de onderzoekers ook nieuwere versies van de wachtwoordmanager niet te vertrouwen zolang onbekend is hoe het probleem is opgelost.