Уязвимость в Skype позволяла легко воровать учетные записи пользователей

image

Теги: уязвимость, Skype, хакер, новость

Администрация Skype заблокировала форму восстановления паролей в качестве временного решения к уязвимости системы проверки подлинности пользователей.

Пользователь форума XekSec сообщил о критической уязвимости в системе проверки подлинности пользователей Skype. По данным хакера, любой пользователь, узнав прикрепленный к учетной записи в Skype адрес электронной почты, мог сменить к ней пароль.

Для того чтобы сделать это, необходимо зарегистрировать новую учетную запись в Skype с адресом электронной почты, прикрепленным к существующему аккаунту. На этом этапе раскрывается первое слабое место в защите VoIP службы – пользователь не должен подтверждать, что он владеет заявленным адресом электронной почты.

После этого нужно авторизоваться в клиенте Skype с помощью новой учетной записи и открыть форму восстановления забытого пароля. В процессе подготовки этой публикации на сайте Skype исчезла форма восстановления забытых паролей, в которую участник форума XekSec предлагает ввести e-mail адрес жертвы. В результате этого в клиентах всех авторизованных пользователей, использующих данный электронный почтовый ящик, появляется ссылка на форму смены пароля.

Пройдя по этой ссылке, злоумышленник мог сменить как свой пароль, так и пароль жертвы, получив, таким образом, возможность, например, разослать спам-сообщения.

До того, как на сайте Skype был заблокирован доступ к форме восстановления паролей, единственным способом защиты от уязвимости было прикрепление учетной записи Skype к новому адресу электронной почты, неизвестному злоумышленникам.


или введите имя

CAPTCHA
Максим
14-11-2012 15:14:51
Закрыли уже, точнее закрывают. При переходе на страницу сброса пароля редиректит на авторизацию.
0 |
Неандерталец
14-11-2012 18:04:14
Разработчики Skype были уведомлены о проблеме ещё весной этого года, но проблема с тех пор не была решена.уже пол года закрывают,толи ещё будет
0 |
Loki
14-11-2012 22:02:13
Закрыли уже-вон новый билд спешно вышел...
0 |
George
15-11-2012 14:44:22
Угу, уважаемые пользователи не-винды, вы потерпите ) В баню скайп! Кто не может переварить Jabber и SIP, может использовать Google Talk/Google Hangout. Работает без проблем на до-чертиков платформ.
0 |
Владимир
16-05-2013 12:46:55
Как проверить подлинность личных данных пользователя Skype?
0 |