Rus Dmitry Chestnykh informoval o probléme Microsoft už v lete, firma zareagovala až dnes.
Najpopulárnejší nástroj na on-line telefonovanie a videokonferencie - Skype, bol po dobu niekoľkých mesiacov vystavený obrovskému bezpečnostnému riziku. Už v auguste informoval spoločnosť Microsoft o veľmi jednoduchej metóde odcudzenia účtov Rus Dmitry Chestnykh, čo má dokazovať aj záznam z komunikácie. Firma však zareagovala až teraz, keď sa objavili detailné návody krok-za-krokom na ruských diskusných fórach.
Na ukradnutie používateľského konta Skype postačilo útočníkovi poznať e-mail adresu svojej obete. S ňou sa pokúsil vytvoriť nové konto, čo však samozrejme viedlo ku chybovému hláseniu oznamujúcemu, že k danej e-mail adrese už existuje Skype konto. Zároveň bola ponúknutá možnosť resetovania hesla, pre prípad že ho používateľ zabudol.
Vo väčšine podobných služieb s kontom naviazaným na e-mail je nové, resetované heslo zaslané priamo do uvedenej e-mail schránky. V tomto prípade sa však nové heslo objavilo ako správa aj útočníkovi priamo v Skype, prístup k schránke obete teda nutný nebol. Po obdržaní nového hesla sa mohol útočník bez problémov prihlásiť a pôvodný používateľ nemal šancu sa k svojmu kontu opäť dostať.
Ako reakciu na túto chybu dnes Microsoft na čas úplne deaktivoval možnosť resetu, resp. obnovenia hesla. Do akej miery bola táto bezpečnostná chyba zneužitá je zatiaľ neznáme.
Zdroj: CB
Pridať nový komentár