Hlavní navigace

K ovládnutí účtu Skype stačilo znát příslušnou e-mailovou adresu

14. 11. 2012

Sdílet

 Autor: Redakce

Nebyl by to pořádný den, kdyby se ve světě počítačů neobjevila nová hrozba. O většině z nich (bohudík) nevíme, tentokrát by nicméně měli být všichni na potenciální nebezpečí upozorněni. Tak nějak jsme to ale nestihli, neboť Microsoft již chybu opravil. O co šlo? Ruští hackeři objevili díru v procesoru obnovy hesla pro síť Skype. Sami víte nejlépe, že komunikátoru se dobře daří, počet uživatelů utěšeně roste a spolu s ním se zvětšuje základna počítačů, které mohou útočníci dobývat.

Protentokrát nešlo o vstup do počítače, nýbrž o ovládnutí uživatelského účtu. Vašeho účtu se útočník mohl zmocnit až příliš snadno. K nabourání totiž stačilo znát e-mailovou adresu, na níž byl účet zaregistrován. Druhý údaj, uživatelské jméno, vám Skype sám prozradí, pakliže zakládáte nový účet a váš e-mail je již v databázi přiřazen k jinému účtu.

Uvedené dva údaje jsou tedy snadno zjistitelné, uživatelské přezdívky či e-maily běžně používáme pro nalezení našich známých v síti. Nejedná se o citlivé údaje, které bychom před okolím tajili. Vaši znání jistě znají váš e-mail i přezdívku v síti Skype. Tyto údaje vystavujeme na odiv v sociálních sítích. Změnit heslo a znepřístupnit vám vlastní účet, je pak pro dobyvatele otázkou jediné minuty.

 

Poprve byl problém nahlášen na jakémsi ruském fóru před celými dvěma měsíci, přesto se Microsoft, vlastník Skypu, vytasil s opravou teprve dnes. Útok probíhal vždy tak, že s e-mailovou adresou útočník vytvořil v komunikační síti nový účet, k němuž jste přidali ještě vlastní e-mailovou adresu. (Jak bylo řečeno, adresu bylo třeba předem znát.) Důležité kroky byly z reportu logicky vynechány, token vygenerovaný při pokusu o reset hesla však mohl být použit ke vstupu do cizího účtu.

WT100

To je ona důležitá informace. Skype již problém odstranil, říká, že napadeno bylo nízké procento účtů. Bohužel tvrdí, že útočníci mohli převzít kontrolu jen na některými z nich. Pravda je taková, že se mohli nabourat do libovolného účtu. Ovšem s podmínkou, že znají e-mailovou adresu.

Zdroj: The Next Web via The Verge