Ci sono 2 milioni di dollari bloccati su un conto in cripto: dopo 11 anni qualcuno ha una soluzione
Chiunque può perdere una password, il problema è se la chiave di sicurezza è l'unico modo per accedere a 2 milioni di dollari. È successo a Michael (nome di fantasia per proteggere la sua identità), nel 2013 ha archiviato le sue criptovalute in un portafoglio digitale protetto da una password generata con RoboForm. Ha memorizzato la chiave di accesso di 20 caratteri su un file crittografato, per proteggere 43,6 bitcoin, valevano circa 4.000 euro nel 2013. Poi il file si è danneggiato e Michael ha perso l'accesso. Per 11 anni i bitcoin sono rimasti bloccati nel suo portafoglio digitale
Ora Michael, grazie all'aiuto degli hacker Joe Grand e Bruno è riuscito a recuperare la sua password. "Ci sono voluti anni ma sono stato fortunato", ha raccontato a Wired. "Se fossi riuscito ad accedere avrei venduto i bitcoin quando valevano 40.000 dollari". E invece sono rimasti bloccati sul conto Michael, ora le sue criptovalute valgono 2 milioni di dollari. "Il fatto di aver perso la password è stata una buona cosa dal punto di vista finanziario."
Perché è stato così difficile recuperare i bitcoin
Michael due anni fa ha cercato aiuto, e si è rivolto a Joe Grand, hacker esperto in recupero password per i portafogli crittografici. La prima risposta è stata un no, secondo l'hacker era impossibile recuperare la chiave d'accesso. Poi cambia idea. Quando Michael, a giugno, torna da lui decide di accettare la sfida. Vuole però farsi aiutare da Bruno, anche lui hacker. Passano mesi ad analizzare il programma RoboForm, che Michael ha utilizzato per creare la sua password. L'obiettivo è trovare punti deboli per recuperare la chiave d'accesso. Ma non è così semplice.
I primi tentativi sono andati a vuoto. Grand e Bruno durante le analisi infatti scoprono una falla nel programma RoboForm. Il generatore di numeri casuali per creare la password si è basato sulla data e sull'ora del computer dell'utente. Questo avrebbe semplificato il recupero riducendo i tentativi di accesso. Eppure Michael non riusciva a ricordare il giorno esatto. L'unico dato risaliva al primo trasferimento di bitcoin del 14 aprile 2013.
Come è stata trovate la password
Grand e Bruno decidono allora di configurare RoboForm per generare password di 20 caratteri con lettere maiuscole e minuscole, numeri e otto caratteri speciali, considerando come possibili periodi di iscrizione due slot, il primo dal 1 marzo al 20 aprile 2013, il secondo tra il 20 aprile e il 1 giugno 2013. Sembra impossibile, poi scoprono una seconda falla nel sistema: alcune password non prevedevano i caratteri speciali. Decidono quindi di modificare il meccanismo di generazione delle password, riducendo le possibilità, alla fine trovano la password corretta, creata il 15 maggio 2013 alle 16:10:40 GMT.
“In verità siamo stati fortunati che i nostri parametri e l’intervallo di tempo fossero corretti. Se uno di questi fosse sbagliato, avremmo… continuato a fare ipotesi brancolando nel buio", ha spiegato Grand a Wired. "Ci sarebbe voluto molto più tempo per pre-calcolare tutte le password possibili."
La password casuali non sono sicure
La storia, al di là del lieto fine, solleva nuovi dubbi sui sistemi di sicurezza dei portafogli crittografici. RoboForm, infatti, ha più di 6 milioni di utenti in tutto il mondo, è tra i gestori di password più utilizzati sul mercato. Il caso di Michael mostra quanto sia semplice creare password vulnerabili. Già solo sapere la data di creazione infatti potrebbe facilitare gli hacker che cercano di accedere su un conto.
L'azienda ha dichiarato che sono state apportate modifiche per "aumentare la casualità delle password generate". Eppure raramente gli utenti scelgono di cambiare password. Come spiega Grand: "Sappiamo che la maggior parte delle persone non modifica le password a meno che non venga loro richiesto di farlo. Su 935 password nel mio gestore password (non RoboForm), 220 sono del 2015 e precedenti e la maggior parte sono per siti che utilizzo ancora."