В VoiP-сервисе Microsoft Skype выявлена уязвимость, которая позволяет захватить контроль над пользовательским аккаунтом, зная только проассоциированный с ним адрес почтового ящика жертвы. Skype уже принял контрмеры и расследует саму возможность появления такой бреши.
Уязвимость, по правде говоря, глупейшая: для взлома злоумышленнику достаточно зарегистрировать новую учётную запись в Skype на электронный адрес жертвы, а затем, после нескольких несложных процедур, взломщик может воспользоваться сервисом восстановления паролей и через него получить доступ к списку всех аккаунтов, зарегистрированных на адрес жертвы. А затем просто сменить в них пароли.
Информация об уязвимости впервые появилась на хакерском форуме xeksec. Сегодня рано утром Антон Носик написал в своём ЖЖ о том, что у него «вежливо» угнали аккаунт и честно сообщили об этом — в пятом часу утра.
Есть сведения, что взломы подобного рода в последние несколько часов приняли массовый характер. Skype, впрочем, временно заблокировал саму возможность смены паролей, сделав невозможной эксплуатацию уязвимости.
Это уже далеко не первый случай, когда Skype оказывается в прицеле злоумышленников. В начале октября через этот сервис активно распространялся червяк Dorkbot/NgrBot, способный шифровать все данные на пользовательской системе (после чего злоумышленники требуют выкуп в размере 200 долларов за расшифровку).
Этот же червь распространялся раньше через Facebook и Twitter.