Перейти к содержимому


Skype взломан!


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 6

#1 chumak_ig

chumak_ig

    Стажер

  • Модераторы
  • 1361 сообщений
  • Откуда :Київ
  • Регион услуги:Не абонент ОГО
Репутация: 291
Профи

Отправлено 15.11.2012 - 10:54

В сервисе голосовой и видеосвязи Skype обнаружили критическую уязвимость, которая позволяет взломать любой аккаунт, пишет пользователь блога "Хабрахабр". Для взлома необходимо знать только адрес электронной почты жертвы.

Схема взлома заключается в следующем: необходимо зарегистрировать новый логин Skype на e-mail жертвы (технически это возможно). После этого нужно войти в созданный аккаунт, удалить все файлы cookie и запросить восстановление пароля. После этого в окно Skype придет уведомление "Маркер пароля", в котором содержится ссылка.

Перейдя по этой ссылке, пользователь сможет выбрать, для какого логина Skype, зарегистрированного на данный адрес e-mail, он хочет сменить пароль. Среди этих логинов будет как тот, который пользователь только что зарегистрировал на чужой e-mail, так и логин владельца этой электронной почты. Таким образом, без доступа к чужому ящику и без знания старого пароля, чужой пароль можно поменять.

Процедуру взлома наглядно продемонстрировал на видео пользователь твиттера @asintsov (вскоре после публикации заметки ролик был удален и на данный момент недоступен. - Прим. "Ленты.ру"). Представители Skype пока никак не прокомментировали уязвимость, информация о ней распространяется только в Рунете.

Особенность уязвимости заключается в том, что взломщик не может полностью лишить владельца аккаунта доступа к нему, так как уведомление о смене пароля придет и на почтовый ящик того, чей аккаунт взломан. Единственным выходом из ситуации пользователи "Хабрахабра" называют перерегистрацию Skype на e-mail, который никто не знает и который не засвечен в базах.

Как написал в ЖЖ Антон Носик, с помощью этого способа взломали его аккаунт в Skype. О взломе своего аккаунта также написал блогер Илья Варламов. В последствие был произведёт взлом аккаунта Навального.

По состоянию на 14 ноября Skype устранил позволявшую украсть аккаунт уязвимость.

Сервис интернет-телефонии Skype устранил уязвимость, позволявшую получить доступ к чужому аккаунту. Об этом вечером 14 ноября сообщается в блоге компании.
В сообщении подчеркивается, что специалисты компании провели обновления в процессе сброса пароля, и в настоящее время он работает нормально. В Skype отметили, что оказывают поддержку небольшому числу пользователей, которые "столкнулись с неудобствами" из-за сложившейся ситуации.

Подробности новой процедуры сброса пароля в своем сообщении Skype не уточняет.

Источник
D-Link DSL-2640U/NRU, Utels "Супер 79" (Ethernet)

#2 mr.The

mr.The

    Постоялец

  • Форумчане
  • PipPipPipPipPip
  • 483 сообщений
  • Откуда :mrThe.name
  • Регион услуги:Не абонент ОГО
Репутация: 118
Профи

Отправлено 15.11.2012 - 11:24

Да, это эпичнейший фейл. Радует быстрая реакция скайпа - в течении дня после новостей отключили функционал восстановления пароля.

#3 SySOPik

SySOPik

    Телепат 80 лвл

  • СуперМодераторы
  • 4082 сообщений
  • Регион услуги:Закарпаття
Репутация: 1172
Профи

Отправлено 15.11.2012 - 11:28

Вопрос в том, когда пофиксят.
С наилучшими пожеланиями
Ваш Капитан Очевидность.

Изображение

#4 nikelong

nikelong

    Старожил форума

  • Форумчане
  • PipPipPipPipPipPipPipPipPipPip
  • 2773 сообщений
  • Откуда :Киев
  • Регион услуги:Київ
Репутация: 338
Профи

Отправлено 16.11.2012 - 08:31

Вроде уже пофиксели (!)

#5 Luarvik L. Luarvik

Luarvik L. Luarvik

    The Rains of Castamere

  • Администраторы
  • 9592 сообщений
  • Откуда :North Pole
  • Регион услуги:Киев
Репутация: 1527
Профи

Отправлено 16.11.2012 - 09:11

nikelong,

Фикса не было. Просто отключили восстановление паролей.

#6 chumak_ig

chumak_ig

    Стажер

  • Модераторы
  • 1361 сообщений
  • Откуда :Київ
  • Регион услуги:Не абонент ОГО
Репутация: 291
Профи

Отправлено 16.11.2012 - 09:27

SySOPik, nikelong, Luarvik L. Luarvik
В шапке вроде же чётко написал, что 14го пофиксили (сначала отключили восстановление паролей, а следом пофиксили). Или написанное не соответствует действительности? (сам не пробовал играться, посему не зню).
D-Link DSL-2640U/NRU, Utels "Супер 79" (Ethernet)

#7 Luarvik L. Luarvik

Luarvik L. Luarvik

    The Rains of Castamere

  • Администраторы
  • 9592 сообщений
  • Откуда :North Pole
  • Регион услуги:Киев
Репутация: 1527
Профи

Отправлено 16.11.2012 - 10:11

Самый простой вариант проверки - воспользоваться функцией восстановления пароля. Воспользовался. Сработало.




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 скрытых пользователей