You are hereГруппы / Безопасность / Уязвимость в Skype позволяла легко воровать учетные записи пользователей

Уязвимость в Skype позволяла легко воровать учетные записи пользователей


By yuliya - Posted on 15 ноября 2012

Картинка: 
уязвимость,  Skype,  хакер

Администрация Skype заблокировала форму восстановления паролей в качестве временного решения к уязвимости системы проверки подлинности пользователей.

Пользователь форума XekSec сообщил о критической уязвимости в системе проверки подлинности пользователей Skype. По данным хакера, любой пользователь, узнав прикрепленный к учетной записи в Skype адрес электронной почты, мог сменить к ней пароль.

Для того чтобы сделать это, необходимо зарегистрировать новую учетную запись в Skype с адресом электронной почты, прикрепленным к существующему аккаунту. На этом этапе раскрывается первое слабое место в защите VoIP службы – пользователь не должен подтверждать, что он владеет заявленным адресом электронной почты.

После этого нужно авторизоваться в клиенте Skype с помощью новой учетной записи и открыть форму восстановления забытого пароля. В процессе подготовки этой публикации на сайте Skype исчезла форма восстановления забытых паролей, в которую участник форума XekSec предлагает ввести e-mail адрес жертвы. В результате этого в клиентах всех авторизованных пользователей, использующих данный электронный почтовый ящик, появляется ссылка на форму смены пароля.

Пройдя по этой ссылке, злоумышленник мог сменить как свой пароль, так и пароль жертвы, получив, таким образом, возможность, например, разослать спам-сообщения.

До того, как на сайте Skype был заблокирован доступ к форме восстановления паролей, единственным способом защиты от уязвимости было прикрепление учетной записи Skype к новому адресу электронной почты, неизвестному злоумышленникам.

securitylab.ru

Отправить комментарий

  • Строки и параграфы переносятся автоматически.
  • Доступны HTML теги: <ul> <ol> <li> <dl> <dt> <dd> <b> <i> <p> <center> <br>

CAPTCHA
Вы, случаем, не робот?

Уведомления группы

Предложения групп RSS лента. Или подписаться на эти персонализированные, общесайтовые каналы:

Сейчас на сайте

Сейчас на сайте 0 пользователей и 80 гостей.

Последние комментарии