“Pada akhirnya kami beruntung bahwa parameter dan rentang waktu kami benar. Jika salah satu dari itu salah, kami akan terus menebak/menembak dalam kegelapan,” kata Grand dalam sebuah email kepada WIRED. “Akan memakan waktu yang signifikan untuk menghitung kembali semua kemungkinan kata sandi.”
Grand dan Bruno membuat video untuk menjelaskan detail teknis lebih jelas.
RoboForm, yang dibuat oleh Siber Systems yang berbasis di AS, adalah salah satu manajer kata sandi pertama di pasaran, dan saat ini memiliki lebih dari 6 juta pengguna di seluruh dunia, menurut laporan perusahaan. Pada 2015, Siber nampaknya memperbaiki manajer kata sandi RoboForm. Dalam sekilas, Grand dan Bruno tidak dapat menemukan tanda-tanda bahwa generator nomor acak pseudo dalam versi 2015 menggunakan waktu komputer, yang membuat mereka berpikir bahwa mereka menghapusnya untuk memperbaiki kelemahan, meskipun Grand mengatakan mereka perlu memeriksanya lebih teliti untuk memastikan.
Siber Systems mengkonfirmasi kepada WIRED bahwa mereka memperbaiki masalah tersebut dengan versi 7.9.14 dari RoboForm, yang dirilis pada 10 Juni 2015, tetapi juru bicara tidak mau menjawab pertanyaan tentang bagaimana mereka melakukannya. Dalam catatan perubahan di situs web perusahaan, disebutkan bahwa para programmer Siber melakukan perubahan untuk “meningkatkan keacak-an kata sandi yang dihasilkan,” tetapi tidak dijelaskan bagaimana mereka melakukannya. Juru bicara Siber, Simon Davis, mengatakan bahwa “RoboForm 7 dihentikan pada tahun 2017.”
Grand mengatakan bahwa, tanpa mengetahui bagaimana Siber memperbaiki masalah tersebut, penyerang mungkin masih bisa menghasilkan kembali kata sandi yang dihasilkan oleh versi RoboForm sebelum perbaikan pada 2015. Dia juga tidak yakin apakah versi terbaru mengandung masalah tersebut.
“Saya masih tidak yakin akan mempercayainya tanpa mengetahui bagaimana mereka sebenarnya meningkatkan generasi kata sandi dalam versi terbaru,” katanya. “Saya tidak yakin apakah RoboForm mengetahui seberapa buruknya kelemahan tertentu ini.”
Pelanggan mungkin juga masih menggunakan kata sandi yang dihasilkan dengan versi awal program sebelum perbaikan. Tidak terlihat bahwa Siber pernah memberi tahu pelanggan ketika mereka merilis versi yang diperbaiki 7.9.14 pada tahun 2015 bahwa mereka harus membuat kata sandi baru untuk akun atau data penting. Perusahaan tidak merespons pertanyaan tentang hal ini.
Jika Siber tidak memberi tahu pelanggan, ini berarti bahwa siapa pun seperti Michael yang menggunakan RoboForm untuk membuat kata sandi sebelum 2015 – dan masih menggunakan kata sandi tersebut – mungkin memiliki kata sandi yang rentan dan bisa diregenerasi oleh peretas.
“Kita tahu bahwa kebanyakan orang tidak mengubah kata sandi kecuali mereka diminta untuk melakukannya,” kata Grand. “Dari 935 kata sandi dalam manajer kata sandi saya (bukan RoboForm), 220 di antaranya berasal dari tahun 2015 dan sebelumnya, dan sebagian besar dari mereka adalah untuk situs yang saya masih gunakan.”
Tergantung pada apa yang dilakukan perusahaan untuk memperbaiki masalah pada tahun 2015, kata sandi yang lebih baru juga mungkin rentan.
Pada November lalu, Grand dan Bruno mengurangi sebagian persen bitcoin dari akun Michael untuk pekerjaan yang mereka lakukan, kemudian memberinya kata sandi untuk mengakses sisanya. Bitcoin tersebut bernilai $38.000 per koin saat itu. Michael menunggu sampai nilainya naik menjadi $62.000 per koin dan menjual sebagian. Dia sekarang memiliki 30 BTC, yang kini bernilai $3 juta, dan menunggu nilai tersebut naik menjadi $100.000 per koin.
Michael mengatakan bahwa dia beruntung kehilangan kata sandi tersebut bertahun-tahun yang lalu karena, sebaliknya, dia akan menjual bitcoin ketika nilainya $40.000 per koin dan melewatkan keberuntungan yang lebih besar.
“Bagi saya kehilangan kata sandi adalah hal yang baik secara finansial.”