Skype начал устранять критическую уязвимость

В сервисе голосовой и видеосвязи Skype обнаружили критическую уязвимость, которая позволяет взломать любой аккаунт. Для взлома необходимо знать только адрес электронной почты жертвы.

Схема взлома заключается в следующем: необходимо зарегистрировать новый логин Skype на e-mail жертвы (технически это возможно). После этого нужно войти в созданный аккаунт, удалить все файлы cookie и запросить восстановление пароля. После этого в окно Skype придет уведомление "Маркер пароля", в котором содержится ссылка, сообщает Lenta.ru.

Перейдя по этой ссылке, пользователь сможет выбрать, для какого логина Skype, зарегистрированного на данный адрес e-mail, он хочет сменить пароль. Среди этих логинов будет как тот, который пользователь только что зарегистрировал на чужой e-mail, так и логин владельца этой электронной почты. Таким образом, без доступа к чужому ящику и без знания старого пароля, чужой пароль можно поменять.

Процедуру взлома наглядно продемонстрировал на видео пользователь твиттера @asintsov. Представители Skype пока никак не прокомментировали уязвимость, информация о ней распространяется только в Рунете.

Особенность уязвимости заключается в том, что взломщик не может полностью лишить владельца аккаунта доступа к нему, так как уведомление о смене пароля придет и на почтовый ящик того, чей аккаунт взломан. Единственным выходом из ситуации пользователи "Хабрахабра" называют перерегистрацию Skype на e-mail, который никто не знает и который не засвечен в базах.

Как написал в ЖЖ Антон Носик, с помощью этого способа взломали его аккаунт в Skype. О взломе своего аккаунта также написал блогер Илья Варламов.

Skype отключил функцию восстановления паролей

До устранения обнаруженной уязвимости Skype временно отключил функцию восстановления паролей, которая ранее была доступна на сайте Skype. Поменять пароль от аккаунта, воспользовавшись этой ссылкой, теперь невозможно.

Восстановление пароля в Skype осуществлялось с помощью временных кодов (так называемых "маркеров пароля"). Если пользователь забывал пароль и запрашивал процедуру восстановления, ему на почту и в сам клиент приходил код, с помощью которого можно было задать новый пароль.

Сервис Skype с 2011 принадлежит корпорации Microsoft. В русскоязычном твиттере сервиса интернет-телефонии сообщается, что "Skype осведомлен о сообщениях о взломе аккаунтов и в данный момент занимается исследованием проблемы".