Впервые о проблеме сообщил сайт The Next Web. Представителям сайта удалось угнать аккаунт Skype, следуя инструкциям с какого-то русскоязычного форума, где они были опубликованы еще два месяца назад.
По сообщениям сайта, процесс угона аккаунта – довольно прост. Удивительно, как Microsoft его раньше не обнаружила. По сути, для угона требовалось лишь создать новый аккаунт Skype с адресом email, который уже использовался другим человеком. Регистрация это позволяла.
При этом при повторной регистрации Skype автоматически внутренне связывал оба аккаунта. Письмо с подтверждением регистрации на почту не отсылалось, а атакующий просто автоматически вводился в систему.
В дальнейшем он мог запросить сброс пароля для выбранного аккаунта. Интересно, но сброс пароля отсылался не только на почту, но и представлялся в интерфейсе Skype. Это позволяло атакующему сбросить пароль жертвы.
Сообщается, что Microsoft была уведомлена о проблеме. Однако каких-либо ответных действий на эту тему компания, похоже, не предприняла. Впрочем, через несколько часов после опубликования информации об уязвимости, Microsoft в блоге Skype написала о ее закрытии.
Также компания заявила о том, что пытается связаться со всеми людьми, которые могли от нее пострадать. Со слов компании, таких людей – не много.
Комментарии (0)