Множество информационных агентств со ссылкой на различные блоги сообщили (http://thenextweb.com/microsoft/2012/11/14/security-hole-all.../), что в Skype найдена критическая (http://forum.xeksec.com/skype.html#post98725) уязвимость, которая позволяет взломать любой аккаунт, зная только e-mail жертвы.
Порядок действия следующий:
1. Злоумышленник заходит на сайт Skype и регистрирует новый Skype ID, указав e-mail жертвы.
2. Злоумышленник подключается к Skype с зарегистрированным Skype ID.
3. На странице (https://login.skype.com/account/password-reset-request) для восстановления пароля на сайте Skype вводятся данные аккаунта жертвы.
4. Информация по сбросу и изменению пароля уходит не только на электронный ящик жертвы, но и во все открытые сессии Skype, в том числе данные по изменению пароля оказываются видимы в созданной злоумышленником сессии Skype.
Разработчики Skype были уведомлены о проблеме ещё весной этого года, но проблема с тех пор не была решена. Единственным пока решением остаётся смена e-mail на никому неизвестный. В заявлении компании Microsoft сказано "<i>Мы получили данные о новой проблеме безопасности. В качестве предупредительный меры мы отключили функцию восстановления пароля на время, что позволит более детально исследовать этот вопрос. Мы приносим извинения за неудобства, но безопасность пользователей имеет для нас наивысший приоритет.</i>"
URL: http://thenextweb.com/microsoft/2012/11/14/security-hole-all.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=35329