Игры
14 ноября 2012, 10:12

Уязвимость Skype позволяет легко угонять аккаунты

Пользователь блогохостинга "Хабрахабр" опубликовал описание универсальной уязвимости популярного сервиса интернет-телефонии Skype. Оказывается, взломать аккаунт любого пользователя Skype можно лишь зная на какую электронную почту зарегистрирован аккаунт. При чем делается это легко и непринужденно, вам не понадобится какие-либо особые хакерские навыки. По словам обнаружившего уязвимость, он уже три месяца назад писал в службу поддержки Skype, однако уязвимость до сих пор не была исправлена, но при этом в последнее время начались массовые уводы аккунтов с применением этой методики. На взлом Skype, например пожаловались известные блогеры Антон Носик и Илья Варламов.

Skype

Skype

Процедура описана буквально следующая (процитируем):

  • Регистрируем новый Skype аккаунт на мыло жертвы (там будет написано типа на это мыло уже кто-то зареген). Не обращаем внимания — заполняем дальше.
  • Логинимся в скайп клиент
  • Удаляем все куки, идём на login.skype.com/account/password-reset-request вбиваем мыло жертвы.
  • В Skype приходит уведомление 
  • Переходим по ссылке и видим мыло жертвы и списки логинов зарегистрированных на это мыло. Свой логин тоже видим.
  • Выбираем логин жертвы и меняем пароль

Уведомление в Skype

Уведомление в Skype

При этом в почту жертвы, при этом, приходят вот письма:

Письма в почте жертвы

В качестве временного способа защиты на данный момент предлагается изменить основной e-mail аккаунта Skype на никому не известный адрес, в крайнем случае зарегистрировать новый адрес электронной почты и использовать его. Замена производится через сайт Skype, а не приложение.

UpDate : Мы получили официальный комментарий Skype от пресс-службы. Возможность сброса пароля временно отключена. Узнать подробности можно здесь.

UpDate2 : Уязвимость устранена. Узнать подробности можно здесь.

Источник новости: Хабрахабр