Взлом аккаунта Скайпа (уязвимость 2012 года)

Материал из Викиреальностя
Перейти к: навигация, поиск

Взлом аккаунта Скайпа — уязвимость в Скайпе, позволяющая взломать произвольный аккаунт, зная адрес email, на который тот зарегистрирован. Обнаружена и опубликована в ноябре 2012 года. Информация о взломе Скайпа появилась на форуме XekSecurity[1], а потом на Хабрахабре и в некоторых блогах в Живом Журнале, затем в российских СМИ, включая телевидение. Исправлена в течение суток.

Содержание

[править] Описание уязвимости

Последовательность действий описана на Хабрахабре и приводится исключительно в информационных целях:

  • регистрируется новый аккаунт на основной email компрометируемого аккаунта;
  • выполняется вход в новый аккаунт и восстановление пароля через форму на сайте;
  • в аккаунт приходит ссылка на маркер пароля, при переходе по которой выводится список всех аккаунтов на email и предлагается восстановить любой из них;
  • выбирается логин жертвы и меняется пароль.

Владелец взломанного аккаунта получает на почту уведомление о смене пароля. Для защиты от этого способа взлома необходимо поменять email в настройках Скайпа на неизвестный публике адрес email, смена должна осуществляться через сайт Скайпа (сменить основной email в клиенте нельзя).

После публикации информации о уязвимости на Хабрахабре появились сообщения о том, что работа функции восстановления пароля была изменена [4].

14 ноября 2012 года сервис Skype временно отключил возможность сброса паролей[2].

[править] Взломы

По сообщению на Хабрахабре, уязвимость была известна более месяца, и с тех пор произошло немало взломов. На сообщения об уязвимости техподдержка сервиса не реагировала.

Были взломаны аккаунты Носика, Варламова, Навального, Иванова — в первом случае аккаунт был возвращен взломщиком, во втором взломщик не изменил почтовый адрес, что позволило вернуть аккаунт обратно [3][4][5].

[править] Оценки

Мицгол оценил случившееся как слив репутации корпорации Microsoft.[6]

[править] Цитаты

я вообще не понимаю чем думали люди, когда разрешили регить новые аккаунты на существующий адрес без подтверждения прав на ящик. Причем эти левые акки нельзя ни удалить ни заблокировать, в итоге кто хочет на ваше мыло регит черт знает что))

Mikhail_K Mikhail_K 14 ноября 2012 в 11:42

Лично моё мнение, человек, который сгенерировал идею привязывать что угодно к email без подтверждения самого email pаслуживает звания «Дегенерат года». Это годится только для сайтов вроде ололоша.юкозе.ру, но уж точно не для многомиллионного проекта и M$. Именно это — баг, который необходимо исправить, а не только сделать, чтобы ключ не приходил куда не надо.

[править] Примечания

  1. http://forum.xeksec.com/skype.html
  2. Skype отключил функцию сброса паролей
  3. [1]
  4. [2]
  5. [3]
  6. http://habrahabr.ru/post/158545/#comment_5428323

[править] Ссылки

Взлом аккаунта Скайпа (уязвимость 2012 года) относится к теме «Skype»   ±
Источник — «http://wikireality.ru/w/index.php?title=%D0%92%D0%B7%D0%BB%D0%BE%D0%BC_%D0%B0%D0%BA%D0%BA%D0%B0%D1%83%D0%BD%D1%82%D0%B0_%D0%A1%D0%BA%D0%B0%D0%B9%D0%BF%D0%B0_(%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C_2012_%D0%B3%D0%BE%D0%B4%D0%B0)&oldid=533071»