Man kann bzw. konnte einen Skype-Account in sechs einfachen Schritten hacken, wenn man die Email-Adresse des Inhabers kannte. In einem russischen Blog war dazu heute eine Step-by-Step-Anleitung erschienen. Skype hat auf die Veröffentlichung der Sicherheitslücke reagiert und den Passwort-Reset zeitweilig deaktiviert.
Das Prozedere, dass die Übernahme eines fremden Accounts ermöglichte war denkbar einfach und es ist sehr verwunderlich, dass eine derartig große Sicherheitslücke nicht viel früher gefunden wurde. Fasst man die Anleitung zusammen, lief das ganze so:
Meine Empfehlungen für dich
Die 4-Stunden-Woche - Mehr Zeit, mehr Geld, mehr Leben | Der Welt-Besteller für eine geniale Work-Life-Balance, ortsunabhängiges Arbeiten und ein fantastisches Leben.
Bestes iPhone Leder-Case - Eleganter kannst du dein iPhone nicht gegen Schmutz und Kratzer schützen. Das 2in1 Leder-Case von Solo Pelle ist abnehmbar, kommt mit Kartenfächern daher und sieht einfach nur mega aus.
Mein liebster Arbeitsstuhl - Ohne den Swopper Air hätte ich sicherlich mehr Rückenschmerzen. Er fördert trotz Sitzposition eine bewegliche Wirbelsäule und hält mich beim Arbeiten aktiv. Das ist ein riesiger Vorteil zum stink normalen Bürostuhl.
Voraussetzung war, dass man die Email-Adresse des "Opfers" kannte. Mit dieser versuchte man dann einfach einen neuen Account zu registrieren, worauf man die Meldung erhält, dass man bereits ein Skype-Konto besitzt. Die Registrierung wurde trotzdem fortgesetzt und man dachte sich einfach Benutzername und Passwort aus, loggte sich anschließend ein und rief die Passwort-Reset-Seite von Skype auf. Dort tippte man die Email-Adresse des Opfers ein und Zack-Bumm-Bonjour hatte man den Link zum Passwort-Reset (Password Token) in der geöffneten Skype-Applikation. Dort standen dann die beiden Nutzernamen, die auf die entsprechende Email-Adresse registriert waren und das Passwort konnte ohne weiteres geändert werden.
Es waren also keinerlei "Hacker-Fähigkeiten" notwendig, denn man brauchte nicht einmal Zugriff auf das Postfach des Account-Inhabers. Die beschriebene Vorgehensweise lässt sich zur Zeit nicht mehr ausführen, da Skype den Passwort-Reset vorübergehend deaktiviert hat. Die Kollegen von The Next Web stehen mit dem Skype-Team in Kontakt erhielten auf Anfrage zum aktuellen Sicherheitsproblem folgende Reaktion:
“We have had reports of a new security vulnerability issue. As a precautionary step we have temporarily disabled password reset as we continue to investigate the issue further. We apologize for the inconvenience but user experience and safety is our first priority.â€
Man darf gespannt sein, wozu die Ermittlungen führen und wie schnell sich eine Änderung realisieren lässt.
[via TNW]Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵
