Популярний сервіс інтернет-телефонії Skype відключив функцію відновлення паролів після численних скарг користувачів про злом їхніх облікових записів через вразливість, виявлену в сервісі відновлення паролів Skype. Про це заявив представник сервісу.
"Ми отримали повідомлення про вразливість в системі безпеки Skype. В цілях безпеки наших користувачів ми тимчасово відключили функцію скидання пароля, також ми продовжуємо далі досліджувати це питання", - сказав РІА Новости представник сервісу.
Приблизно о 14.30 мск адміністрація Skype відключила сервіс відновлення паролів. При спробі скористатися ним, користувачеві просто пропонується ввести свої логін і пароль.
Зі слів експерта російської компанії Positive Technologies, яка працює в області інфобезпеки, Ольги Шелестової, характер вразливості теоретично давав змогу поставити злом акаунтів Skype "на потік".
"Автоматизація процесу не вимагає особливих трудовитрат з урахуванням абсолютної незахищеності процедури відновлення пароля. Введення email для відновлення не просить CAPTHA (введення цифр з картинки). А для маніпуляцій з додатком Skype і cookies (на одному з етапів злому потрібно очистити історію браузера) не вимагається особливих умінь. Бота (програму для автоматизації злому) можна написати за кілька хвилин", - сказала раніше експерт.
На думку Шелестової, вразливість виникла через необдумане прагнення сервісу впровадити інновації.
"Раніше приходив лист на електронну пошту, і тільки після цього можна було змінити пароль, перейшовши за посиланням. А зараз - в Skype приходить повідомлення (маркер пароля), і неважливо, чи це підтвердження з боку легітимного користувача", - розповіла експерт.
Нагадаємо, сьогодні, 14 листопада, в інтернеті з'явилася інформація про критичну вразливість в системі відновлення паролів на сервісі Skype, яка дозволяє користувачам без спеціальних знань викрадати чужі облікові записи на сервісі. Помилка розробників полягає в тому, що якщо у хакера є акаунт в Skype, і він знає адресу електронної пошти, на яку зареєстровано акаунт іншого користувача, то зловмисник може легко отримати доступ до акаунту жертви: для цього потрібно вказати її email в своєму профілі як основну адресу і запустити процедуру відновлення пароля.
Хто ми такі: Про нас та Контакти. Як ми пишемо новини та наші принципи: Редакційний кодекс. Ми старались, якщо вам сподобалось – задонатьте.
Якщо Ви помітили орфографічну помилку, напишіть нам.