«Мы получили сообщения об уязвимости в системе безопасности Skype. В целях безопасности наших пользователей мы временно отключили функцию сброса пароля, также мы продолжаем дальше исследовать этот вопрос», - сказал представитель сервиса.
В целях безопасности наших пользователей мы временно отключили функцию сброса пароля
Примерно в 14.30 мск администрация Skype отключила сервис восстановления паролей. При попытке воспользоваться им, пользователю просто предлагается ввести свои логин и пароль, передает РИА «Новости».
Как рассказала специалист российской компании Positive Technologies, работающей в области инфобезопасности, Олеся Шелестова, характер уязвимости теоретически позволял поставить взлом аккаунтов Skype «на поток».
«Автоматизация процесса не требует особых трудозатрат с учетом абсолютной незащищенности процедуры восстановления пароля. Ввод email для восстановления не просит CAPTHA (ввода цифр с картинки). А для манипуляций с приложением Skype и cookies (на одном из этапов взлома требуется очистить историю браузера) не требуется особых умений. Бота (программу для автоматизации взлома) можно написать за несколько минут», - сказала ранее Шелестова.
По ее мнению, уязвимость возникла из-за необдуманного стремления сервиса внедрить инновации.
«Раньше приходило письмо на электронную почту, и только после этого можно было сменить пароль, перейдя по ссылке. А сейчас - в Skype приходит уведомление (маркер пароля), и неважно, подтверждение ли это со стороны легитимного пользователя», - рассказала она.
По мнению ведущего специалиста отдела расследований инцидентов информационной безопасности российской компании Group-IB Максима Суханова, даже если бы уязвимость оставалась известной более продолжительное время, вряд ли массовые атаки на Skype получили бы распространение.
«Угон» аккаунтов Skype не является распространенной услугой на рынке киберпреступности», - сказал Суханов.
По его словам, в том числе, это связано с практически полным отсутствием возможности вывести деньги со счета пользователя. Массово похищать аккаунты в этом сервисе хакерам просто неинтересно.
Как сообщала газета ВЗГЛЯД, ранее в среду российские пользователи Skype пожаловались на массовое похищение аккаунтов.
Уязвимость в механизме восстановления пароля позволяет злоумышленнику, знающему адрес электронной почты, на который зарегистрирована учетная запись жертвы в Skype, произвольно менять пароль и как следствие получить доступ к аккаунту.
Как стало известно, описанный на интернет-форумах способ взлома работает и не требует от взломщика специальных навыков. Корпорация Microsoft, которой принадлежит сервис Skype, пока не давала комментариев.
Алгоритм взлома предусматривает регистрацию злоумышленником новой учетной записи в Skype на электронный адрес жертвы. После регистрации и нескольких несложных процедур, взломщику достаточно воспользоваться сервисом восстановления паролей, чтобы получить доступ к списку всех аккаунтов, зарегистрированных на адрес жертвы и сменить в них пароли.
Для снижения риска взлома Skype-аккаунта пользователям рекомендуется поменять адрес электронной почты, на который зарегистрирована их учетная запись, на новый e-mail и держать его в тайне.
По данным с форума техподдержки Community.skype.com, данные об уязвимости были впервые опубликованы еще в июле текущего года, однако до сих пор она не была исправлена.
Компания Skype была основана в 2003 году. Число зарегистрированных пользователей сервиса превышает 500 млн человек, а его ежемесячная аудитория достигает 170 млн пользователей. Для работы с сервисом существуют клиентские программы для большинства распространенных настольных и мобильных операционных систем. В 2011 году корпорация Microsoft приобрела Skype за 8,5 млрд долларов.