Праз дзірку ў абароне Skype масава выкрадалі акаўнты

Учора ўвечары ў публічны доступ трапілі звесткі пра крытычную памылку абароны акаўнтаў у Skype. Аказалася, што для таго, каб завалодаць скайпам любога карыстальніка, зламысніку дастаткова ведаць толькі e-mail, на які ён быў зарэгістраваны.

Праз крытычную памылку ў абароне Skype ўжо быў скрадзены цэлы шэраг акаўнтах вядомых людзей у Рунэце. Пра гэта пішуць іх уладальнікі ў твітэры. У тым ліку, доступ да свайго скайпу страціў вядомы расейскі палітычны блогер Аляксей Навальны.

Схема ўзлому вельмі простая. Неабходна зарэгістраваць новы лагін Skype на адрас электроннай пошты ахвяры (сістэма не забараняе гэта рабіць). Пасля гэтага трэба ўвайсці ў створаны рахунак, выдаліць усе файлы кукіс і запытаць аднаўленне пароля. Пасля гэтага ў акно Skype прыйдзе апавяшчэнне «Маркер пароля», у якім будзе спасылка.

Праз атрыманую спасылку, карыстальнік зможа абраць, для якога лагіна Skype, зарэгістраванага на e-mail, ён хоча змяніць пароль. Сярод гэтых лагінаў будзе як той, які карыстальнік толькі што зарэгістраваў на чужую пошту, так і лагін ўладальніка гэтай электроннай пошты. Такім чынам, без доступу да чужой скрыні і без ведаў старога паролю, чужы пароль можна змяніць. З новым паролем зламыснік можа выдаліць прывязку акаўнта да першаснага e-mail і такім чынам уладальнік ужо не зможа вярнуць сабе акаўнт.

Алгарытм дзеянняў і паведамленне пра памылку былі апублікаваныя на сайце Habrahabr учора позна ўвечары. На дадзены момант служба падтрымкі Skype аніяк не зрэагавала на праблему. Тым часам у сацыяльных сетках з’яўляейцца ўсё болей паведамленняў ад карыстальнікаў, якія страцілі свае акаўнты ў Skype.

Як абараніць свой акаўнт

Як хутчэй змяніце адрас электроннай пошты, на які зарэгістраваны ваш скайп. Змена мае сэнс, калі новы адрас электроннай пошты не можа быць вядомым зламысніку. Змену адраса e-mail можна зрабіць праз вэб-сайт https://secure.skype.com/

UPD

Каля 13.00 па беларускім часе старонка на сайце Skype для узнаўлення паролю перастала працаваць. Па адрасе login.skype.com/account/password-reset-request адбываецца перанакіраванне. Падобна, што кампанія такім чынам зрэагавала на дзірку ў бяспецы. Г.зн., калі акаўнт яшчэ ў вас, то апісаным вышэй спосабам, яго ўжо не скрадуць.

UPD2

У 17.20 па беларускім часе старонка аднаўлення паролю запрацавала. Алгарытм яго замены быў выпраўлены. Цяпер не дасылаецца маркер, які прыходзіў у Скайп.

Каментары праз FACEBOOK



 
In 0.0768 seconds.