Update: Mittlerweile hat Skype über sein Blog verkündet, dass man die Lücke geschlossen habe und den Vorfall zutiefst bedauert. Betroffen gewesen wären demnach – was sollen sie sonst auch sagen – eh nur wenige Accounts, jetzt läuft aber wieder alles einwandfrei und sicher. Mehr Infos, auch zu den gespeicherten Chat-Daten, gibt es bei Caschy. (/Update)

Lücke im Scheunentorformat: Skype-Accounts übernehmen in sechs einfachen Schritten! *Update: Lücke geschlossen*

Eine gewaltige Lücke bei Skype im Passwort-Resetsystem wurde heute auf einer russischen Seite veröffentlicht: Nur mit Kenntnis der eMail-Adresse des Opfers ist es möglich, dessen Skype-Account in sechs einfachen Schritten zu übernehmen. Die Lücke ist tatsächlich erschreckend groß und es erstaunt schon fast, dass sie nicht viel früher bekannt wurde.

Die Kurzform: Man legt sich einen neuen Skype-Account mit der eMail-Adresse des Opfers an, vergibt dafür einen Benutzernamen und loggt sich per Skype-Applikation ein. Dann ruft man das Passwort-Resetsystem auf, gibt diese eMail-Adresse ein und wechselt zurück zur Applikation. Und hier beginnt das Problem: Im Homescreen der Applikation erhält man den Code, den man für den Passwort-Reset benötigt, man braucht also keinen Zugriff auf die eMails des Opfers. Mit diesem Code erhält man nun beim Passwort-Reset   einen Dialog, bei dem man das Passwort für jeden mit der benutzten eMail-Adresse verknüpften Skype-Account ändern kann – die jeweiligen Accounts werden zur einfach Auswahl angeboten.

Aktuell lässt sich das beschriebene Vorgehen nicht mehr durchführen, der Passwort-Reset ist derzeit von Skype deaktiviert. Trotzdem kann es wohl nicht schaden, die Verknüpfung des eigenen Skype-Accounts auf eine Mailadresse zu ändern, die nicht öffentlich bekannt ist. Und wenn man schon dabei ist, vielleicht bei der Gelegenheit auch gleich mal ein neues Passwort vergeben?

Newsletter abonnieren

RSS-Icon Immer auf dem Laufenden bleiben? Dann abonniere unseren RSS-Feed!
  • http://twitter.com/andiliciouscom Andi Wieser

    Was nützt ‘die beste Verschlüsselung’ bei derartigen Lücken. ;)

  • LinusX

    krass!

Trackbacks & Pingbacks