Egyszerűen ellophatók voltak a Skype-fiókok
Egy orosz fórumon bukkant fel a módszer arra, hogyan lehet egyszerűen, pusztán a felhasználó email címének ismeretében átvenni a teljes irányítást egy Skype-fiók felett. A biztonsági rést felfedező hacker saját bevallása szerint már hónapokkal korábban kapcsolatba lépett a szolgáltatás üzemeltetőivel, azonban érdemi reakciót nem kapott.
Három hónappal ezelőtt kereste meg a Skype üzemeltetőit egy biztonsági rés leírásával egy orosz hacker, azonban semmilyen válaszra nem méltatták, ezért most nyilvánosságra hozta az általa felfedezett biztonsági rést egy fórumon. A pofonegyszerű, bárki által kivitelezhető támadással tetszőleges felhasználó fiókja felett át lehet venni az uralmat, ehhez mindössze az illető Skype-on regisztrált email címének az ismeretére van szükség.
A fiók ellopásához mindössze annyi kellett, hogy egy új fiók létrehozásakor email címnek az áldozatét adja meg valaki, a figyelmeztetés ellenére folytassa a regisztrációt, majd bejelentkezzen a szolgáltatásba a Skype klienssel, törölje a gépén található böngészősütiket (cookie), ezt követően pedig a Skype jelszavak visszaállítására alkalmas oldalon megadja az email címet, amely az áldozaté. Egy rendszerhiba miatt ezt követően a Skype-kliensben megjelent a jelszócseréhez szükséges token, így a támadó be tudott lépni az áldozat fiókjába, hozzáférve minden információhoz.
Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.
A támadásra eddig csak egyetlen gyógyír létezett, a Skype-ban regisztrált email cím megváltoztatása egy olyanra, amelyet senki sem ismer. Mostantól azonban nincs mitől tartani, ez a támadás nem működik, mivel a Skype a sebezhetőségről szóló hír széles körű elterjedése miatt elérhetetlenné tette a jelszó-visszaállítást egy időre, amíg be nem foltozza a rést. Igaz, ez azzal jár, hogy azok sem tudják visszaállítani a jelszavukat, akik valóban elfelejtették azt.
"Jelentéseket kaptunk egy új biztonsági problémáról. Óvatossági intézkedésként átmenetileg felfüggesztettük a jelszó-visszaállítás szolgáltatást, amíg az esetet ki nem vizsgáltuk. Elnézést kérünk a kellemetlenségért, de a felhasználóink biztonsága az elsődleges a számunka" - áll a hivatalos Skype Heartbeats blogban olvasható bejegyzésben, amely néhány perce született.