- PVSM.RU - https://www.pvsm.ru -

Уязвимость в skype, позволяющая угнать любой аккаунт

Уязвимость в skype, позволяющая угнать любой аккаунт

Месяца два назад я писал об этой критической уязвимости в skype support, но она до сих пор не исправлена.

Сразу скажу, что саму уязвимость я целиком не знаю, но в последнее время начались массовые угоны аккаунтов.

Для реализации атаки необходимо лишь знать логин скайпа и e-mail жертвы, к которому привязан этот логин(в 90% случаев найти e-mail жертвы не проблема).

Proof-of-Concept я не знаю. Но делается по достаточно незамысловатой схеме:
-Регистрируется новый скайп на e-mail жертвы.
-Запрашивается восстановление пароля скайпа на этот e-mail.
-Меняется e-mail на зарегистрированном скайпе.
-Дальнейшие действия мне не известны, то ли маркер пароля опять восстанавливается, то ли еще что-то, в итоге злоумышленник меняет пароль от вашего основного скайпа через маркер пароля.

На почте жертвы письма появляются примерно в такой последовательности:

Уязвимость в skype, позволяющая угнать любой аккаунт

Уязвимость в skype, позволяющая угнать любой аккаунт

Уязвимость в skype, позволяющая угнать любой аккаунт

Единственный способ защититься на данный момент это зарегистрировать новый никому не известный e-mail адрес и сменить через сайт скайпа [1] основной e-mail аккаунта на новый.
Внимание! Сменить через саму программу skype основной e-mail нельзя! Только через сайт!

За последнюю неделю 10 человек только из моего контакт листа взломали с помощью этой уязвимости.
Я хочу предупредить всех как можно быстрее обезопасить себя, так как пока что Microsoft не принимает никаких действий, позаботьтесь о своей безопасности сами.

Автор: ReaM

Источник [2]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/uyazvimost/20004

Ссылки в тексте:

[1] сайт скайпа: https://secure.skype.com/portal/profile

[2] Источник: http://habrahabr.ru/post/158545/