Уязвимость в Skype позволяла легко воровать учетные записи пользователей

image

Теги: уязвимость, Skype, хакер, новость

Администрация Skype заблокировала форму восстановления паролей в качестве временного решения к уязвимости системы проверки подлинности пользователей.

Пользователь форума XekSec сообщил о критической уязвимости в системе проверки подлинности пользователей Skype. По данным хакера, любой пользователь, узнав прикрепленный к учетной записи в Skype адрес электронной почты, мог сменить к ней пароль.

Для того чтобы сделать это, необходимо зарегистрировать новую учетную запись в Skype с адресом электронной почты, прикрепленным к существующему аккаунту. На этом этапе раскрывается первое слабое место в защите VoIP службы – пользователь не должен подтверждать, что он владеет заявленным адресом электронной почты.

После этого нужно авторизоваться в клиенте Skype с помощью новой учетной записи и открыть форму восстановления забытого пароля. В процессе подготовки этой публикации на сайте Skype исчезла форма восстановления забытых паролей, в которую участник форума XekSec предлагает ввести e-mail адрес жертвы. В результате этого в клиентах всех авторизованных пользователей, использующих данный электронный почтовый ящик, появляется ссылка на форму смены пароля.

Пройдя по этой ссылке, злоумышленник мог сменить как свой пароль, так и пароль жертвы, получив, таким образом, возможность, например, разослать спам-сообщения.

До того, как на сайте Skype был заблокирован доступ к форме восстановления паролей, единственным способом защиты от уязвимости было прикрепление учетной записи Skype к новому адресу электронной почты, неизвестному злоумышленникам.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus