Уязвимость Skype позволяет легко угонять аккаунты
Пользователь блогохостинга "Хабрахабр" опубликовал описание универсальной уязвимости популярного сервиса интернет-телефонии Skype. Оказывается, взломать аккаунт любого пользователя Skype можно лишь зная на какую электронную почту зарегистрирован аккаунт. При чем делается это легко и непринужденно, вам не понадобится какие-либо особые хакерские навыки. По словам обнаружившего уязвимость, он уже три месяца назад писал в службу поддержки Skype, однако уязвимость до сих пор не была исправлена, но при этом в последнее время начались массовые уводы аккунтов с применением этой методики. На взлом Skype, например пожаловались известные блогеры Антон Носик и Илья Варламов.
Skype
Skype
Процедура описана буквально следующая (процитируем):
- Регистрируем новый Skype аккаунт на мыло жертвы (там будет написано типа на это мыло уже кто-то зареген). Не обращаем внимания — заполняем дальше.
- Логинимся в скайп клиент
- Удаляем все куки, идём на login.skype.com/account/password-reset-request вбиваем мыло жертвы.
- В Skype приходит уведомление
- Переходим по ссылке и видим мыло жертвы и списки логинов зарегистрированных на это мыло. Свой логин тоже видим.
- Выбираем логин жертвы и меняем пароль
Уведомление в Skype
Уведомление в Skype
При этом в почту жертвы, при этом, приходят вот письма:
Письма в почте жертвы
В качестве временного способа защиты на данный момент предлагается изменить основной e-mail аккаунта Skype на никому не известный адрес, в крайнем случае зарегистрировать новый адрес электронной почты и использовать его. Замена производится через сайт Skype, а не приложение.
UpDate : Мы получили официальный комментарий Skype от пресс-службы. Возможность сброса пароля временно отключена. Узнать подробности можно здесь.
UpDate2 : Уязвимость устранена. Узнать подробности можно здесь.
Источник новости: Хабрахабр