Уязвимость сервиса Skype, позволявшая взламывать аккаунты пользователей устранена
Пользователь форума Xeksec под ником ReanimatoR сообщил, что нашел критическую уязвимость в Skype, позволяющую получить доступ к любому Skype-аккаунту. По его словам, несколько месяцев назад он уже сообщал о выявленный «дыре» службе поддержки Skype, но, до недавнего времени разработчиками она не была закрыта.
Для кражи чужого аккаунта используется два свойства регистрационного модуля сервиса Skype: злоумышленники регистрируют еще один аккаунт на E-mail, который был указан в ходе регистрации аккаунта жертвы. После отправления запроса для смены пароля взломщикам предоставляется возможность поменять регистрационные данные жертвы, в том числе пароль и адрес почты, при помощи которой восстанавливается доступ. Для угона нужно знать только адрес, на который зарегистрирован Skype-аккаунт жертвы.
Единственным действенным методом противодействия взлому является смена почтового адреса на новый либо не известный. Это возможно сделать в регистрационных данных, а также на веб-странице сервиса. Предполагается, что в процессе подбора нового адреса взломщик будет испытывать определенные затруднения.
Некоторые пользователи форума Xeksec в своих комментариях подтвердили, что смогли воспроизвести взлом по указанной схеме, но большинство из них сообщает, что не смогли с этим справиться.
И вот сегодня пишло сообщение, что разработчики Skype устранили обнаруженную критическую уязвимость. При этом специалисты подчеркивают, что проблема взлома каснулась лишь небольшого количества пользователей - только тех у которых на один почтовый ящик было оформлено несколько акаунтов Skype. Тем не менее, не смотря на оперативную реакцию, проявленную разработчиками сервиса после публикаций о вышеупомянутых проблемах, злоумышленники все же успели воспользоваться новой лозейкой в системе безопасности и взломать несколько учетных записей известных блогеров рунета.
Комментарии: