Популярный сервис интернет-телефонии Skype отключил функцию восстановления паролей после многочисленных жалоб пользователей о взломе их учетных записей через уязвимость, выявленную в системе восстановления паролей, рассказал представитель сервиса.
"Мы получили сообщения об уязвимости в системе безопасности Skype. В целях безопасности наших пользователей мы временно отключили функцию сброса пароля, также мы продолжаем дальше исследовать этот вопрос", - сказал РИА Новости представитель сервиса.
В среду в интернете появилась информация о критической уязвимости в системе восстановления паролей на сервисе Skype, которая позволяет пользователям без специальных знаний похищать чужие учетные записи на сервисе.
Ошибка разработчиков заключается в том, что если у хакера есть аккаунт в Skype, и он знает адрес электронной почты, на который зарегистрирован аккаунт другого пользователя, то злоумышленник может легко получить доступ к аккаунту жертвы: для этого нужно указать ее email в своем профиле в качестве основного адреса и запустить процедуру восстановления пароля.
Примерно в 14.30 мск администрация Skype отключила сервис восстановления паролей. При попытке воспользоваться им, пользователю просто предлагается ввести свои логин и пароль. Как рассказала эксперт российской компании Positive Technologies, работающей в области инфобезопасности, Олеся Шелестова, характер уязвимости теоретически позволял поставить взлом аккаунтов Skype "на поток".
"Автоматизация процесса не требует особых трудозатрат с учетом абсолютной незащищенности процедуры восстановления пароля. Ввод email для восстановления не просит CAPTHA (ввода цифр с картинки).
А для манипуляций с приложением Skype и cookies (на одном из этапов взлома требуется очистить историю браузера) не требуется особых умений. Бота (программу для автоматизации взлома) можно написать за несколько минут", - сказала ранее эксперт.
По мнению Шелестовой, уязвимость возникла из-за необдуманного стремления сервиса внедрить инновации. "Раньше приходило письмо на электронную почту, и только после этого можно было сменить пароль, перейдя по ссылке. А сейчас - в Skype приходит уведомление (маркер пароля), и неважно, подтверждение ли это со стороны легитимного пользователя", - рассказала эксперт.
По мнению ведущего специалиста отдела расследований инцидентов информационной безопасности российской компании Group-IB Максима Суханова, даже если бы уязвимость оставалась известной более продолжительное время, вряд ли массовые атаки на Skype получили бы распространение.
"Угон" аккаунтов Skype не является распространенной услугой на рынке киберпреступности", - сказал эксперт. По его словам, в том числе, это связано с практически полным отсутствием возможности вывести деньги со счета пользователя. Массово похищать аккаунты в этом сервисе хакерам просто неинтересно.
Компания Skype была основана в 2003 году. Число зарегистрированных пользователей сервиса превышает 500 миллионов человек, а его ежемесячная аудитория достигает 170 миллионов пользователей. Для работы с сервисом существуют клиентские программы для большинства распространенных настольных и мобильных операционных систем. В 2011 году корпорация Microsoft приобрела Skype за 8,5 миллиарда долларов.