Взлом аккаунта Скайпа (уязвимость 2012 года)

Материал из Викиреальностя
Перейти к: навигация, поиск

Взлом аккаунта Скайпа — уязвимость в Скайпе, позволяющая взломать произвольный аккаунт, зная адрес email, на который тот зарегистрирован. Обнаружена и опубликована в ноябре 2012 года. Информация о взломе Скайпа появилась на форуме XekSecurity[1], а потом на Хабрахабре и в некоторых блогах в Живом Журнале, затем в российских СМИ, включая телевидение. Исправлена в течение суток.

Содержание

[править] Описание уязвимости

Последовательность действий описана на Хабрахабре и приводится исключительно в информационных целях:

  • регистрируется новый аккаунт на основной email компрометируемого аккаунта;
  • выполняется вход в новый аккаунт и восстановление пароля через форму на сайте;
  • в аккаунт приходит ссылка на маркер пароля, при переходе по которой выводится список всех аккаунтов на email и предлагается восстановить любой из них;
  • выбирается логин жертвы и меняется пароль.

Владелец взломанного аккаунта получает на почту уведомление о смене пароля. Для защиты от этого способа взлома необходимо поменять email в настройках Скайпа на неизвестный публике адрес email, смена должна осуществляться через сайт Скайпа (сменить основной email в клиенте нельзя).

После публикации информации о уязвимости на Хабрахабре появились сообщения о том, что работа функции восстановления пароля была изменена [4].

14 ноября 2012 года сервис Skype временно отключил возможность сброса паролей[2].

[править] Взломы

По сообщению на Хабрахабре, уязвимость была известна более месяца, и с тех пор произошло немало взломов. На сообщения об уязвимости техподдержка сервиса не реагировала.

Были взломаны аккаунты Носика, Варламова, Навального, Иванова — в первом случае аккаунт был возвращен взломщиком, во втором взломщик не изменил почтовый адрес, что позволило вернуть аккаунт обратно [3][4][5].

[править] Оценки

Мицгол оценил случившееся как слив репутации корпорации Microsoft.[6]

[править] Цитаты

я вообще не понимаю чем думали люди, когда разрешили регить новые аккаунты на существующий адрес без подтверждения прав на ящик. Причем эти левые акки нельзя ни удалить ни заблокировать, в итоге кто хочет на ваше мыло регит черт знает что))

Mikhail_K Mikhail_K 14 ноября 2012 в 11:42

Лично моё мнение, человек, который сгенерировал идею привязывать что угодно к email без подтверждения самого email pаслуживает звания «Дегенерат года». Это годится только для сайтов вроде ололоша.юкозе.ру, но уж точно не для многомиллионного проекта и M$. Именно это — баг, который необходимо исправить, а не только сделать, чтобы ключ не приходил куда не надо.

[править] Примечания

[править] Ссылки