Адрес для входа в РФ: exler.world
Уязвимость в Skype - как не потерять аккаунт, внимание!
14.11.2012 12:22
8587
Комментарии (41)
В Skype обнаружена уязвимость, которая позволяет злоумышленнику сменить ваш пароль и отредактировать данные аккаунта, если он знает, на какой e-mail зарегистрирована ваша учетная запись. Причем почтовый ящик при этом вскрывать ему не обязательно. Уязвимость связана с тем, что Skype позволяет при создании нового аккаунта указывать там чужой почтовый ящик, на который уже зарегистрирована какая-то запись.
У меня аккаунт уже попробовали увести, но не успели - я сразу увидел уведомления в почте, быстро сменил и пароль, и e-mail. А мог бы и не успеть. Это было бы не очень весело, потому что я потерял бы контакт-лист Skype, что как-то не хотелось бы.
Как бороться с уязвимостью? Заведите новый почтовый ящик с абстрактным именем и срочно пропишите его в настройках вашего аккаунта на сайте Skype. Старый ящик оттуда от греха уберите.
Сделайте это срочно, информация о том, как увести аккаунты уже активно гуляет по Сети, спасибо всяким уродам.
P.S. Отдельное спасибо разработчикам. Им об этой уязвимости пишут уже несколько месяцев. It was и ныне там.
Войдите, чтобы оставить комментарий.
It was уже не там! Не прошло и полгода...
Восстановление пароля отключено в Skype
Восстановление пароля отключено в Skype
А, так там дают даже пароль сменить. Тогда сорри, недопонял.
Насчет переписки. Тут где-то в комментах было написано, что взломанный акк сразу подгружает с сервера историю.
Насколько я знаю, как работает скайп, там все не так. На сервере нет истории. Вся идеалогия скайпа - почему он бесплатный - построена на том, что общение, все - как аудио, так и мессаги, идет пир-ту-пир. Сообщения хранятся только на компе отправителя и на компе получателя.
Теперь внимание. Если в этот момент включается второй клиент отправителя, положим, мобильный, то скайп на первом клиенте в фоновом режиме, в режиме минимального приоритета, начинает отдавать на второй историю сообщений.
В итоге, выходит, что сообщения стырить можно только тогда, когда у вас скайп УЖЕ запущен, и пока вы его не погасили, кто-то взломал вам аккаунт и зашел под новым паролем на своем компе. Если вы почему-то в этот ответственный момент попробуете перелогиниться, то пароль у вас не подойдет, вы восстановите его через е-майл и включитесь в сеть. Но тот, второй скайп недоброжелателя будет висеть в онлайне. И как только вы войдете под новым паролем, он получит всю историю.
Правильно я понял схему взлома?
Кстати, если по какой-то причине у вас увели пароль от скайпа, что самое противное, вам будет совсем незаметно, что кто-то получает ваши сообщения ПАРАЛЛЕЛЬНО с вами. Заметить это могут только ваши друзья в контакт-листе. Хотя бы потому, что вы раньше пропадали по ночам, а теперь по ночам вы постоянно онлайн, хотя комп у вас выключен. Такая история может быть и не взломом, а намеренным действием (например, скайп еще и дома и запущен всегда), поэтому особо никто по этому поводу не трубит. Обратите внимание, так вот жить можно очень долго и не замечать, что все ваши сообщения читают realtime.
Насколько я знаю, как работает скайп, там все не так. На сервере нет истории. Вся идеалогия скайпа - почему он бесплатный - построена на том, что общение, все - как аудио, так и мессаги, идет пир-ту-пир. Сообщения хранятся только на компе отправителя и на компе получателя.
Теперь внимание. Если в этот момент включается второй клиент отправителя, положим, мобильный, то скайп на первом клиенте в фоновом режиме, в режиме минимального приоритета, начинает отдавать на второй историю сообщений.
В итоге, выходит, что сообщения стырить можно только тогда, когда у вас скайп УЖЕ запущен, и пока вы его не погасили, кто-то взломал вам аккаунт и зашел под новым паролем на своем компе. Если вы почему-то в этот ответственный момент попробуете перелогиниться, то пароль у вас не подойдет, вы восстановите его через е-майл и включитесь в сеть. Но тот, второй скайп недоброжелателя будет висеть в онлайне. И как только вы войдете под новым паролем, он получит всю историю.
Правильно я понял схему взлома?
Кстати, если по какой-то причине у вас увели пароль от скайпа, что самое противное, вам будет совсем незаметно, что кто-то получает ваши сообщения ПАРАЛЛЕЛЬНО с вами. Заметить это могут только ваши друзья в контакт-листе. Хотя бы потому, что вы раньше пропадали по ночам, а теперь по ночам вы постоянно онлайн, хотя комп у вас выключен. Такая история может быть и не взломом, а намеренным действием (например, скайп еще и дома и запущен всегда), поэтому особо никто по этому поводу не трубит. Обратите внимание, так вот жить можно очень долго и не замечать, что все ваши сообщения читают realtime.
Типа решили проблему - тупо отключили возможность восстановления забытого пароля.
Придётся переходить обратно на qip:D
(А кип, после того, как Алекс Экслер его бросил, совсем загнулся. Обновления раз в год, глюков всё больше... Похоже, разработчикам интереснее дрочащиеся члены в "трансляциях" на офф.сайте...)
(А кип, после того, как Алекс Экслер его бросил, совсем загнулся. Обновления раз в год, глюков всё больше... Похоже, разработчикам интереснее дрочащиеся члены в "трансляциях" на офф.сайте...)
ну надо же. я только сегодня днем пароль на скайпе меняла, все еще работало.
А смысл? там же фишка ,как я понял, в том, что при восстановлении пароля, сбивается пароль на всех записях, привязанных к одному емейлу и временный пароль приходит на емейл, указанный как праймари у последней записи, которую создал вор.
Вопрос - приравнивает ли Скайп алиас к реальному адресу или нет?
Так и не понял как они взламывают.
1. Завел левый акк в скайпе с левым емейлом.
2. В настройках этого аккаунта указал второй емейл от действующего скайпа.
3. Поменял праймари емейл у левой записи на емейл от действующей.
4. У левой записи попробовал восстановить пароль - пока ничего не пришло - ни на первый емейл ни на второй.
ЗЫ. Мелкомягкие пока прикрыли восстановление пароля на сайте.
1. Завел левый акк в скайпе с левым емейлом.
2. В настройках этого аккаунта указал второй емейл от действующего скайпа.
3. Поменял праймари емейл у левой записи на емейл от действующей.
4. У левой записи попробовал восстановить пароль - пока ничего не пришло - ни на первый емейл ни на второй.
ЗЫ. Мелкомягкие пока прикрыли восстановление пароля на сайте.
Я вот никак не пойму, причём тут M$, они ж недавно только скайп купили? Или как купили немедленно отрядили команду писать баги о_О?
Ну и у меня скайп привязан к аккаунту Live, а тот вообще ещё и к мобиле, так что сомнительно, что можно увести 😄
Ну и у меня скайп привязан к аккаунту Live, а тот вообще ещё и к мобиле, так что сомнительно, что можно увести 😄
vitalyoff:
Я вот никак не пойму, причём тут M$, они ж недавно только скайп купили? Или как купили немедленно отрядили команду писать баги о_О?
Ну и у меня скайп привязан к аккаунту Live, а тот вообще ещё и к мобиле, так что сомнительно, что можно увести
Я вот никак не пойму, причём тут M$, они ж недавно только скайп купили? Или как купили немедленно отрядили команду писать баги о_О?
Ну и у меня скайп привязан к аккаунту Live, а тот вообще ещё и к мобиле, так что сомнительно, что можно увести
Купили и уже переделали всю инфраструктуру.
Я вам больше скажу - этой проблеме уже не один год. На мой основной почтовый ящик зарегистрировано порядка 15 каких-то левых аккаунтов и постоянно приходят письма от скайпа с маркером восстановления пароля. При этом, свой скайп-аккаунт я на этот ящик НЕ регистрировал! Я писал в поддержку гневные письма около года назад. В ответ тишина и маркеры восстановления паролей...
Так и новый ящик узнают, как старый узнали. Не понял, в чем смысл. Тем более, меня они уж точно не взломают, ибо я как неуловимый Джо.
DoctorGauss: Так и новый ящик узнают, как старый узнали.
Бред какой-то. Старый ящик у меня был exler@exler.ru - это очевидно. Теперь узнайте новый. Вперед.
DoctorGauss:
Так и новый ящик узнают, как старый узнали. Не понял, в чем смысл. Тем более, меня они уж точно не взломают, ибо я как неуловимый Джо.
Так и новый ящик узнают, как старый узнали. Не понял, в чем смысл. Тем более, меня они уж точно не взломают, ибо я как неуловимый Джо.
Как?
Хм... Может, стоит снести скайп к чертям и учетку удалить?
Нахрен оно такое надо. И кто сказал, что эта дыра - единственная? С таким-то подходом к делу.
Нахрен оно такое надо. И кто сказал, что эта дыра - единственная? С таким-то подходом к делу.
mgsxx: Хм... Может, стоит снести скайп к чертям и учетку удалить?
Тогда уж и сетевой кабель из компа или роутера выдерни 😄 в Интернете столько дыр
Хм. А зачем вообще кому-то уводить скайп-аккаунт? С аськой еще понятно более-менее - номера короткие и красивые, а скайп-то кому нужен? Ради денег на скайпауте?
garrick:
Хм. А зачем вообще кому-то уводить скайп-аккаунт? С аськой еще понятно более-менее - номера короткие и красивые, а скайп-то кому нужен? Ради денег на скайпауте?
Хм. А зачем вообще кому-то уводить скайп-аккаунт? С аськой еще понятно более-менее - номера короткие и красивые, а скайп-то кому нужен? Ради денег на скайпауте?
Как раз очень имеет смысл. Тут же вся переписка всплывет.
garrick:
Хм. А зачем вообще кому-то уводить скайп-аккаунт? С аськой еще понятно более-менее - номера короткие и красивые, а скайп-то кому нужен? Ради денег на скайпауте?
Хм. А зачем вообще кому-то уводить скайп-аккаунт? С аськой еще понятно более-менее - номера короткие и красивые, а скайп-то кому нужен? Ради денег на скайпауте?
Ради переписки. У разных людей она может быть разная.
Ты распространил эту информацию не хуже всяких уродов))))
harmant:
Ты распространил эту информацию не хуже всяких уродов))))
Ты распространил эту информацию не хуже всяких уродов))))
Я народ предупредил. Это важнее.
Алекс-спасибо.
ретвитнул пост (точнее,просто ссылку на него)
ретвитнул пост (точнее,просто ссылку на него)
Мдааа.. супер. Майкрософт - царь Мидас наоборот. Все, к чему прикасается рука майкрософт, превращается НЕ в золото.
geldiev:
Мдааа.. супер. Майкрософт - царь Мидас наоборот. Все, к чему прикасается рука майкрософт, превращается НЕ в золото.
Мдааа.. супер. Майкрософт - царь Мидас наоборот. Все, к чему прикасается рука майкрософт, превращается НЕ в золото.
Мелкомягкие тут не при чём. И без них в скайпе проблем всегда хватало.
geldiev:
Мдааа.. супер. Майкрософт - царь Мидас наоборот. Все, к чему прикасается рука майкрософт, превращается НЕ в золото.
Мдааа.. супер. Майкрософт - царь Мидас наоборот. Все, к чему прикасается рука майкрософт, превращается НЕ в золото.
Ага. Только тем временем Halo 4 продан на 200 миллионов долларов в первый день продаж.
Теги
Информация
