Сообщений в теме: 6

[chumak_ig]

В сервисе голосовой и видеосвязи Skype обнаружили критическую уязвимость, которая позволяет взломать любой аккаунт, пишет пользователь блога "Хабрахабр". Для взлома необходимо знать только адрес электронной почты жертвы.

Схема взлома заключается в следующем: необходимо зарегистрировать новый логин Skype на e-mail жертвы (технически это возможно). После этого нужно войти в созданный аккаунт, удалить все файлы cookie и запросить восстановление пароля. После этого в окно Skype придет уведомление "Маркер пароля", в котором содержится ссылка.

Перейдя по этой ссылке, пользователь сможет выбрать, для какого логина Skype, зарегистрированного на данный адрес e-mail, он хочет сменить пароль. Среди этих логинов будет как тот, который пользователь только что зарегистрировал на чужой e-mail, так и логин владельца этой электронной почты. Таким образом, без доступа к чужому ящику и без знания старого пароля, чужой пароль можно поменять.

Процедуру взлома наглядно продемонстрировал на видео пользователь твиттера @asintsov (вскоре после публикации заметки ролик был удален и на данный момент недоступен. - Прим. "Ленты.ру"). Представители Skype пока никак не прокомментировали уязвимость, информация о ней распространяется только в Рунете.

Особенность уязвимости заключается в том, что взломщик не может полностью лишить владельца аккаунта доступа к нему, так как уведомление о смене пароля придет и на почтовый ящик того, чей аккаунт взломан. Единственным выходом из ситуации пользователи "Хабрахабра" называют перерегистрацию Skype на e-mail, который никто не знает и который не засвечен в базах.

Как написал в ЖЖ Антон Носик, с помощью этого способа взломали его аккаунт в Skype. О взломе своего аккаунта также написал блогер Илья Варламов. В последствие был произведёт взлом аккаунта Навального.

По состоянию на 14 ноября Skype устранил позволявшую украсть аккаунт уязвимость.

Сервис интернет-телефонии Skype устранил уязвимость, позволявшую получить доступ к чужому аккаунту. Об этом вечером 14 ноября сообщается в блоге компании.
В сообщении подчеркивается, что специалисты компании провели обновления в процессе сброса пароля, и в настоящее время он работает нормально. В Skype отметили, что оказывают поддержку небольшому числу пользователей, которые "столкнулись с неудобствами" из-за сложившейся ситуации.

Подробности новой процедуры сброса пароля в своем сообщении Skype не уточняет.

Источник

[mr.The]

Да, это эпичнейший фейл. Радует быстрая реакция скайпа - в течении дня после новостей отключили функционал восстановления пароля.

[SySOPik]

Вопрос в том, когда пофиксят.

[nikelong]

Вроде уже пофиксели (!)

[Luarvik L. Luarvik]

nikelong,

Фикса не было. Просто отключили восстановление паролей.

[chumak_ig]

SySOPik, nikelong, Luarvik L. Luarvik
В шапке вроде же чётко написал, что 14го пофиксили (сначала отключили восстановление паролей, а следом пофиксили). Или написанное не соответствует действительности? (сам не пробовал играться, посему не зню).

[Luarvik L. Luarvik]

Самый простой вариант проверки - воспользоваться функцией восстановления пароля. Воспользовался. Сработало.