Инженер помог восстановить пароль от криптокошелька с 43,6 биткойнами, который был утерян в 2013 году

Инженер, исследователь и белый хакер Джо Гранд (aka Kingpin) помог восстановить пароль от программного криптокошелька с 43,6 биткойнами. Пользователь Майк 11 лет назад сгенерировал 20-значный пароль с помощью инструмента RoboForm, а потом сохранил этот пароль в зашифрованном контейнере TrueCrypt. К сожалению, контейнер был поврежден, а Майкл потерял доступ к паролю, оставив свой кошелёк с биткойнами недоступным. На момент их покупки в 2013 году это количество крипатовалюты стоило около $4 тыс. В 2024 году количество криптомонет во вновь открытом кошельке оценивается в $3 млн.

Майкл был в курсе работ Джо Гранда и обратился к нему за помощью. Гранд сначала ему отказал, зная, что подбор 20-значного пароля будет сродни поиску песчинки на пляже размером с облако Оорта. Но Бруно, коллега-хакер Гранда с глубокими знаниями в области программного обеспечения, увидел в проекте потенциал.

Бруно предложил сосредоточиться на самом генераторе паролей RoboForm. Они вместе предположили, что если бы смогли понять, как RoboForm сгенерировал пароль, то могли бы найти лазейку в кошельке Майкла.

В итоге Гранд и Бруно выяснили, что у менеджера паролей RoboForm есть уязвимость, которая позволяет предугадывать алгоритмы создания чисел, если получится контролировать дату их генерации. Фактически этот инструмент генерирует ключи на основе текущей даты и времени компьютера.

Для восстановления пароля Гранд вместе со своим коллегой Бруно вернул системное время ПК назад на 11 лет, а потом они начали перебирать пароли, которые выдавались RoboForm в определённый промежуток времени, обозначенный пользователем кошелька. После нескольких неудачных попыток исследователям удалось воссоздать правильный пароль и открыть доступ к криптокошельку Майка.

«Имея лишь приблизительное представление о том, когда был сгенерирован пароль, Гранд работал со своим коллегой Бруно над созданием миллионов потенциальных паролей, чтобы в конечном итоге взломать его. Генератор паролей RoboForm с тех пор обновил свою платформу, чтобы улучшить алгоритм работы своего инструментария случайности для пародя, а это означает, что подход взлома на основе времени больше не работает с паролями, созданными после 2015 года», — уточнили СМИ профильные эксперты.

Источник: habr.com

0 0 голоса
Рейтинг новости
0
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии