K ovládnutí účtu Skype stačilo znát příslušnou e-mailovou adresu

14. 11. 2012

Sdílet

 Autor: Redakce

Nebyl by to pořádný den, kdyby se ve světě počítačů neobjevila nová hrozba. O většině z nich (bohudík) nevíme, tentokrát by nicméně měli být všichni na potenciální nebezpečí upozorněni. Tak nějak jsme to ale nestihli, neboť Microsoft již chybu opravil. O co šlo? Ruští hackeři objevili díru v procesoru obnovy hesla pro síť Skype. Sami víte nejlépe, že komunikátoru se dobře daří, počet uživatelů utěšeně roste a spolu s ním se zvětšuje základna počítačů, které mohou útočníci dobývat.

Protentokrát nešlo o vstup do počítače, nýbrž o ovládnutí uživatelského účtu. Vašeho účtu se útočník mohl zmocnit až příliš snadno. K nabourání totiž stačilo znát e-mailovou adresu, na níž byl účet zaregistrován. Druhý údaj, uživatelské jméno, vám Skype sám prozradí, pakliže zakládáte nový účet a váš e-mail je již v databázi přiřazen k jinému účtu.

Uvedené dva údaje jsou tedy snadno zjistitelné, uživatelské přezdívky či e-maily běžně používáme pro nalezení našich známých v síti. Nejedná se o citlivé údaje, které bychom před okolím tajili. Vaši znání jistě znají váš e-mail i přezdívku v síti Skype. Tyto údaje vystavujeme na odiv v sociálních sítích. Změnit heslo a znepřístupnit vám vlastní účet, je pak pro dobyvatele otázkou jediné minuty.

 

Poprve byl problém nahlášen na jakémsi ruském fóru před celými dvěma měsíci, přesto se Microsoft, vlastník Skypu, vytasil s opravou teprve dnes. Útok probíhal vždy tak, že s e-mailovou adresou útočník vytvořil v komunikační síti nový účet, k němuž jste přidali ještě vlastní e-mailovou adresu. (Jak bylo řečeno, adresu bylo třeba předem znát.) Důležité kroky byly z reportu logicky vynechány, token vygenerovaný při pokusu o reset hesla však mohl být použit ke vstupu do cizího účtu.

bitcoin_skoleni

To je ona důležitá informace. Skype již problém odstranil, říká, že napadeno bylo nízké procento účtů. Bohužel tvrdí, že útočníci mohli převzít kontrolu jen na některými z nich. Pravda je taková, že se mohli nabourat do libovolného účtu. Ovšem s podmínkou, že znají e-mailovou adresu.

Zdroj: The Next Web via The Verge