Skype отключил функцию восстановления паролей в связи с уязвимостью
Популярный сервис интернет-телефонии Skype отключил функцию восстановления паролей после многочисленных жалоб пользователей о взломе их учетных записей через уязвимость, выявленную в сервисе восстановления паролей Skype.
«Мы получили сообщения об уязвимости в системе безопасности Skype. В целях безопасности наших пользователей мы временно отключили функцию сброса пароля, также мы продолжаем дальше исследовать этот вопрос», — сказал РИА «Новости» представитель сервиса.
В среду в интернете появилась информация о критической уязвимости в системе восстановления паролей на сервисе Skype, которая позволяет пользователям без специальных знаний похищать чужие учетные записи на сервисе. Ошибка разработчиков заключается в том, что если у хакера есть аккаунт в Skype, и он знает адрес электронной почты, на который зарегистрирован аккаунт другого пользователя, то злоумышленник может легко получить доступ к аккаунту жертвы: для этого нужно указать ее e-mail в своем профиле в качестве основного адреса и запустить процедуру восстановления пароля.
Как рассказала РИА «Новости» эксперт российской компании Positive Technologies, работающей в области инфобезопасности, Ольга Шелестова, характер уязвимости теоретически позволял поставить взлом аккаунтов Skype «на поток».
«Автоматизация процесса не требует особых трудозатрат с учетом абсолютной незащищенности процедуры восстановления пароля. Ввод e-mail для восстановления не просит CAPTHA (ввода цифр с картинки). А для манипуляций с приложением Skype и cookies (на одном из этапов взлома требуется очистить историю браузера) не требуется особых умений. Бота (программу для автоматизации взлома) можно написать за несколько минут», — сказала ранее эксперт.
По мнению Шелестовой, уязвимость возникла из-за необдуманного стремления сервиса внедрить инновации.
«Раньше приходило письмо на электронную почту, и только после этого можно было сменить пароль, перейдя по ссылке. А сейчас — в Skype приходит уведомление (маркер пароля), и неважно, подтверждение ли это со стороны легитимного пользователя», — рассказала эксперт.