Через дыру в защите Skype массово похищали аккаунты
Вчера вечером в публичный доступ попали сведения о критическую ошибку защиты аккаунтов в Skype. Оказалось, что для того, чтобы завладеть скайпом любого пользователя, злоумышленнику достаточно знать только e-mail, на который он был зарегистрирован.
Через критическую ошибку в защите Skype уже был украден целый ряд аккаунтах известных людей в Рунете. Об этом пишут их владельцы в твиттере. В том числе, доступ к своему скайпу потерял известный российский политический блогер Алексей Навальный.
Схема взлома очень проста. Необходимо зарегистрировать новый логин Skype на адрес электронной почты жертвы (система не запрещает это делать). После этого нужно войти в созданный аккаунт, удалить все файлы кукіс и запросить восстановление пароля. После этого в окно Skype придет уведомление «Маркер пароля», в котором будет ссылка.
Через полученную ссылку, пользователь сможет выбрать, для какого логина Skype, зарегистрированного на e-mail, он хочет сменить пароль. Среди этих логинов будет как тот, который пользователь только что зарегистрировал на чужую почту, так и логин владельца этой электронной почты. Таким образом, без доступа к чужому ящику и без знания старого пароля, чужой пароль можно изменить. С новым паролем, злоумышленник может удалить привязку аккаунта к первичному e-mail и таким образом владелец уже не сможет вернуть себе аккаунт.
Алгоритм действий и сообщение об ошибке были опубликованы на сайте Habrahabr вчера поздно вечером. На данный момент служба поддержки Skype никак не среагировала на проблему. Тем временем в социальных сетях з’яўляейцца все больше сообщений от пользователей, которые потеряли свои аккаунты в Skype.
Как защитить свой аккаунт
Как быстрее измените адрес электронной почты, на который зарегистрирован ваш скайп. Изменение имеет смысл, если новый адрес электронной почты не может быть известным злоумышленнику. Смену адреса e-mail можно сделать через веб-сайт https://secure.skype.com/
UPD
Около 13.00 по белорусскому времени страница на сайте Skype для восстановления пароля перестала работать. По адресу login.skype.com/account/password-reset-request происходит перенаправление. Похоже, что компания таким образом отреагировала на дыру в безопасности. Г. зн., если аккаунт еще у вас, то описанным выше способом, его уже не украдут.
UPD2
В 17.20 по белорусскому времени страница восстановления пароля заработала. Алгоритм его замены был исправлен. Теперь не посылается маркер, который приходил в Скайп.