Update: Mittlerweile hat Skype über sein Blog verkündet, dass man die Lücke geschlossen habe und den Vorfall zutiefst bedauert. Betroffen gewesen wären demnach – was sollen sie sonst auch sagen – eh nur wenige Accounts, jetzt läuft aber wieder alles einwandfrei und sicher. Mehr Infos, auch zu den gespeicherten Chat-Daten, gibt es bei Caschy. (/Update)
Eine gewaltige Lücke bei Skype im Passwort-Resetsystem wurde heute auf einer russischen Seite veröffentlicht: Nur mit Kenntnis der eMail-Adresse des Opfers ist es möglich, dessen Skype-Account in sechs einfachen Schritten zu übernehmen. Die Lücke ist tatsächlich erschreckend groß und es erstaunt schon fast, dass sie nicht viel früher bekannt wurde.
Die Kurzform: Man legt sich einen neuen Skype-Account mit der eMail-Adresse des Opfers an, vergibt dafür einen Benutzernamen und loggt sich per Skype-Applikation ein. Dann ruft man das Passwort-Resetsystem auf, gibt diese eMail-Adresse ein und wechselt zurück zur Applikation. Und hier beginnt das Problem: Im Homescreen der Applikation erhält man den Code, den man für den Passwort-Reset benötigt, man braucht also keinen Zugriff auf die eMails des Opfers. Mit diesem Code erhält man nun beim Passwort-Reset einen Dialog, bei dem man das Passwort für jeden mit der benutzten eMail-Adresse verknüpften Skype-Account ändern kann – die jeweiligen Accounts werden zur einfach Auswahl angeboten.
Aktuell lässt sich das beschriebene Vorgehen nicht mehr durchführen, der Passwort-Reset ist derzeit von Skype deaktiviert. Trotzdem kann es wohl nicht schaden, die Verknüpfung des eigenen Skype-Accounts auf eine Mailadresse zu ändern, die nicht öffentlich bekannt ist. Und wenn man schon dabei ist, vielleicht bei der Gelegenheit auch gleich mal ein neues Passwort vergeben?