В Skype нашли уязвимость, позволяющую взломать аккаунт без подбора пароля
В VoIP-сервисе Skype нашли уязвимость, которая позволяет взломать аккаунт пользователя. Для этого нужен только его электронный адрес, на который зарегистрирован аккаунт Skype. Схема взлома описана на форуме XekSecurity и на «Хабрахабре».
Суть ее состоит в том, что злоумышленник может пробовать регистрировать новый аккаунт на email пользователя и затем через процедуру смены пароля получает доступ к аккаунту жертвы. При этом, жертва взлома не лишается доступа к своему аккаунту, поскольку уведомление о смене пароля приходит на ее электронный адрес. Поменять основной адрес электронной почты можно только через веб-сайт Skype, войдя в свой профиль (во вкладке «Личные данные» добавить еще один адрес, затем назначить его основным).
Об этой уязвимости в действии сегодня сообщил медиадиректор компании SUP Media Антон Носик. «Человек, который вломился в мой аккаунт, не стал устраивать там никакого вандализма, а просто позвонил мне в пятом часу утра, чтобы рассказать об использованной для взлома дырке. Мера защиты тут приходит в голову только одна: регистрировать аккаунт Skype с такого адреса электронной почты, который нигде не засвечен, и никому, кроме владельца, не известен», — написал он в ЖЖ.
Update: В Skype уже знают о проблеме и занимаются ее решением. Сейчас в компании приостановили возможность смены пароля до выяснения причин уязвимости.
Напомним, украинская аудитория Skype составляет 8 млн пользователей.
Ранее стало известно, что в ближайшие несколько месяцев корпорация Microsoft планирует свернуть разработку Live Messenger и интегрировать его функции в сервис интернет-телефонии Skype
Комментарии | 10
привет от индийских программистов ))))
так у них же самый крупный разраб-центр в Таллине вроде?
В русском твиттере скайпа уже отписались сегодня о том, что знают об уязвимости и занимаются решением данной проблемы в безопасности.
Спасибо, сейчас проапдейчу новость
Команда Skype вже займається цим питанням.
а в чем уязвимость-то? во-первых, как можно зарегистрировать новый аккаунт на «занятое» мыло? тем более, что сменить пароль можно, собственно, поламав само мыло, я правильно понимаю?
Носег был с дико адского бадуна просто… нет, ну вы зацените: «…регистрировать аккаунт Skype с такого адреса электронной почты, который нигде не засвечен, и никому, кроме владельца, не известен». это как, мля? )))))) да уж, ник прямо говорит сам за себя… 🙂
Я не описывала в новости схему, потому что 1) зачем ее лишний раз светить, 2) она описана по ссылкам. На том же Хабре около десятка пользователей отписались, что удалось сломать самим себя.
это просто мысли, что называется, вслух. что касается Хабры, то там действительно много людей, себя сломали )))))) впрочем, ладно, не будем тут углубляться в тему поломок…
просто это не новость, — это перепост каких-то чужих полубредовых домыслов (Носика, какого-то пользователя Хабры и т. д.). почему не опубликовать, что поэтому поводу думают уполномоченные представители компании? есть ли от них какой-то фидбэк? что думают эксперты? и т. д. а то что такое «описанная по ссылкам» новость?
получилось типа: новость о том, что Носик что-то ляпнул в своем жж, кто-то подхватил, вбросил, и, как говорится, понеслась, вам не кажется? Ну и заголовок, не соответствующий содержанию, не добавляет кармы данному топику.
Запись в Твиттере появилась уже после «первой волны». В то же время, достаточное количество пользователей писали, что их пытались ломать/сломали. Носик — один из многих. Не вижу ничего плохого в предупреждении об опасности, существование которой признали в компании. Официальный комментарий Скайпа в новости тоже есть. Так что не совсем понимаю, что именно вам не нравится.
да все мне нравится. новость только обновите, — устранили уже — http://heartbeat.skype.com/2012/11/security_issue.html