Egyszerűen ellophatók voltak a Skype-fiókok

Három hónappal ezelőtt kereste meg a Skype üzemeltetőit egy biztonsági rés leírásával egy orosz hacker, azonban semmilyen válaszra nem méltatták, ezért most nyilvánosságra hozta az általa felfedezett biztonsági rést egy fórumon. A pofonegyszerű, bárki által kivitelezhető támadással tetszőleges felhasználó fiókja felett át lehet venni az uralmat, ehhez mindössze az illető Skype-on regisztrált email címének az ismeretére van szükség.

A fiók ellopásához mindössze annyi kellett, hogy egy új fiók létrehozásakor email címnek az áldozatét adja meg valaki, a figyelmeztetés ellenére folytassa a regisztrációt, majd bejelentkezzen a szolgáltatásba a Skype klienssel, törölje a gépén található böngészősütiket (cookie), ezt követően pedig a Skype jelszavak visszaállítására alkalmas oldalon megadja az email címet, amely az áldozaté. Egy rendszerhiba miatt ezt követően a Skype-kliensben megjelent a jelszócseréhez szükséges token, így a támadó be tudott lépni az áldozat fiókjába, hozzáférve minden információhoz.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A támadásra eddig csak egyetlen gyógyír létezett, a Skype-ban regisztrált email cím megváltoztatása egy olyanra, amelyet senki sem ismer. Mostantól azonban nincs mitől tartani, ez a támadás nem működik, mivel a Skype a sebezhetőségről szóló hír széles körű elterjedése miatt elérhetetlenné tette a jelszó-visszaállítást egy időre, amíg be nem foltozza a rést. Igaz, ez azzal jár, hogy azok sem tudják visszaállítani a jelszavukat, akik valóban elfelejtették azt.

"Jelentéseket kaptunk egy új biztonsági problémáról. Óvatossági intézkedésként átmenetileg felfüggesztettük a jelszó-visszaállítás szolgáltatást, amíg az esetet ki nem vizsgáltuk. Elnézést kérünk a kellemetlenségért, de a felhasználóink biztonsága az elsődleges a számunka" - áll a hivatalos Skype Heartbeats blogban olvasható bejegyzésben, amely néhány perce született.