В сервисе Skype обнаружили критическую уязвимость, позволяющая украсть любой счет, пишет посетитель блога «Хабрахабр». Для взлома необходимо знать только адрес электронной почты жертвы.
Схема взлома заключается в следующем: необходимо зарегистрировать новый логин Skype на e-mail жертвы (технически это возможно). После этого нужно войти в созданный аккаунт, удалить все файлы cookie и запросить восстановление пароля.
После этого в окно Skype придет уведомление «Маркер пароля», в котором содержится ссылка.
Перейдя по этой ссылке, пользователь сможет выбрать, для какого логина Skype, зарегистрированного на этот адрес e-mail, он хочет изменить пароль. Среди этих логинов будет как тот, который пользователь только что зарегистрировал на чужой e-mail, так и логин владельца этой электронной почты.
Таким образом, без доступа к чужой ящики и без знания старого пароля, чужой пароль можно изменить.
Процедуру взлома наглядно продемонстрировал на видео пользователь твитера @asintsov (вскоре после публикации заметки ролик был удален и в данный момент недоступен). Представители Skype пока никак не прокомментировали брешь и информация о ней распространяется только в Рунете.
Особенность уязвимости заключается в том, что взломщик не может полностью лишить владельца аккаунта доступа к нему, поскольку уведомление об изменении пароля придет и на почтовый ящик того, чей аккаунт взломан.
Единственный выход из ситуации пользователи «Хабрахабр» видят в перерегистрации Skype на e-mail, который никто не знает и который не засвечен в базах.
