В VoIP-сервисе Skype нашли уязвимость, которая позволяет взломать аккаунт пользователя. Для этого нужен только его электронный адрес, на который зарегистрирован аккаунт Skype. Схема взлома описана на форуме XekSecurity и на “Хабрахабре”.
Суть ее состоит в том, что злоумышленник может пробовать регистрировать новый аккаунт на email пользователя и затем через процедуру смены пароля получает доступ к аккаунту жертвы. При этом, жертва взлома не лишается доступа к своему аккаунту, поскольку уведомление о смене пароля приходит на ее электронный адрес. Поменять основной адрес электронной почты можно только через веб-сайт Skype, войдя в свой профиль (во вкладке “Личные данные” добавить еще один адрес, затем назначить его основным).
Об этой уязвимости в действии сегодня сообщил медиадиректор компании SUP Media Антон Носик. “Человек, который вломился в мой аккаунт, не стал устраивать там никакого вандализма, а просто позвонил мне в пятом часу утра, чтобы рассказать об использованной для взлома дырке. Мера защиты тут приходит в голову только одна: регистрировать аккаунт Skype с такого адреса электронной почты, который нигде не засвечен, и никому, кроме владельца, не известен”, – написал он в ЖЖ.
Update: В Skype уже знают о проблеме и занимаются ее решением. Сейчас в компании приостановили возможность смены пароля до выяснения причин уязвимости.
Напомним, украинская аудитория Skype составляет 8 млн пользователей.
Ранее стало известно, что в ближайшие несколько месяцев корпорация Microsoft планирует свернуть разработку Live Messenger и интегрировать его функции в сервис интернет-телефонии Skype
