Администрация Skype заблокировала форму восстановления паролей в качестве временного решения к уязвимости системы проверки подлинности пользователей.
Пользователь форума XekSec сообщил о критической уязвимости в системе проверки подлинности пользователей Skype. По данным хакера, любой пользователь, узнав прикрепленный к учетной записи в Skype адрес электронной почты, мог сменить к ней пароль.
Для того чтобы сделать это, необходимо зарегистрировать новую учетную запись в Skype с адресом электронной почты, прикрепленным к существующему аккаунту. На этом этапе раскрывается первое слабое место в защите VoIP службы – пользователь не должен подтверждать, что он владеет заявленным адресом электронной почты.
После этого нужно авторизоваться в клиенте Skype с помощью новой учетной записи и открыть форму восстановления забытого пароля. В процессе подготовки этой публикации на сайте Skype исчезла форма восстановления забытых паролей, в которую участник форума XekSec предлагает ввести e-mail адрес жертвы. В результате этого в клиентах всех авторизованных пользователей, использующих данный электронный почтовый ящик, появляется ссылка на форму смены пароля.
Пройдя по этой ссылке, злоумышленник мог сменить как свой пароль, так и пароль жертвы, получив, таким образом, возможность, например, разослать спам-сообщения.
До того, как на сайте Skype был заблокирован доступ к форме восстановления паролей, единственным способом защиты от уязвимости было прикрепление учетной записи Skype к новому адресу электронной почты, неизвестному злоумышленникам.
Сбалансированная диета для серого вещества