Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Egyszerűen ellophatók voltak a Skype-fiókok

Bodnár Ádám, 2012. november 14. 12:21
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Egy orosz fórumon bukkant fel a módszer arra, hogyan lehet egyszerűen, pusztán a felhasználó email címének ismeretében átvenni a teljes irányítást egy Skype-fiók felett. A biztonsági rést felfedező hacker saját bevallása szerint már hónapokkal korábban kapcsolatba lépett a szolgáltatás üzemeltetőivel, azonban érdemi reakciót nem kapott.

hirdetés

Három hónappal ezelőtt kereste meg a Skype üzemeltetőit egy biztonsági rés leírásával egy orosz hacker, azonban semmilyen válaszra nem méltatták, ezért most nyilvánosságra hozta az általa felfedezett biztonsági rést egy fórumon. A pofonegyszerű, bárki által kivitelezhető támadással tetszőleges felhasználó fiókja felett át lehet venni az uralmat, ehhez mindössze az illető Skype-on regisztrált email címének az ismeretére van szükség.

A fiók ellopásához mindössze annyi kellett, hogy egy új fiók létrehozásakor email címnek az áldozatét adja meg valaki, a figyelmeztetés ellenére folytassa a regisztrációt, majd bejelentkezzen a szolgáltatásba a Skype klienssel, törölje a gépén található böngészősütiket (cookie), ezt követően pedig a Skype jelszavak visszaállítására alkalmas oldalon megadja az email címet, amely az áldozaté. Egy rendszerhiba miatt ezt követően a Skype-kliensben megjelent a jelszócseréhez szükséges token, így a támadó be tudott lépni az áldozat fiókjába, hozzáférve minden információhoz.

A támadásra eddig csak egyetlen gyógyír létezett, a Skype-ban regisztrált email cím megváltoztatása egy olyanra, amelyet senki sem ismer. Mostantól azonban nincs mitől tartani, ez a támadás nem működik, mivel a Skype a sebezhetőségről szóló hír széles körű elterjedése miatt elérhetetlenné tette a jelszó-visszaállítást egy időre, amíg be nem foltozza a rést. Igaz, ez azzal jár, hogy azok sem tudják visszaállítani a jelszavukat, akik valóban elfelejtették azt.

"Jelentéseket kaptunk egy új biztonsági problémáról. Óvatossági intézkedésként átmenetileg felfüggesztettük a jelszó-visszaállítás szolgáltatást, amíg az esetet ki nem vizsgáltuk. Elnézést kérünk a kellemetlenségért, de a felhasználóink biztonsága az elsődleges a számunka" - áll a hivatalos Skype Heartbeats blogban olvasható bejegyzésben, amely néhány perce született.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.