Множество информационных агентств со ссылкой на различные блоги сообщили, что в Skype найдена критическая уязвимость, которая позволяет взломать любой аккаунт, зная только e-mail жертвы.
Порядок действия следующий:
1. Злоумышленник заходит на сайт Skype и регистрирует новый Skype ID, указав e-mail жертвы.
2. Злоумышленник подключается к Skype с зарегистрированным Skype ID.
3. На странице для восстановления пароля на сайте Skype вводятся данные аккаунта жертвы.
4. Информация по сбросу и изменению пароля уходит не только на электронный ящик жертвы, но и во все открытые сессии Skype, в том числе данные по изменению пароля оказываются видимы в созданной злоумышленником сессии Skype.
Разработчики Skype были уведомлены о проблеме ещё весной этого года, но проблема с тех пор не была решена. Единственным пока решением остаётся смена e-mail на никому неизвестный. В заявлении компании Microsoft сказано "Мы получили данные о новой проблеме безопасности. В качестве предупредительный меры мы отключили функцию восстановления пароля на время, что позволит более детально исследовать этот вопрос. Мы приносим извинения за неудобства, но безопасность пользователей имеет для нас наивысший приоритет."
