Uważaj na swoje konto Skype – tak łatwo możesz je stracić
29.04.2013 15:38
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
W wiadomość tę trudno uwierzyć. Czyżby najpopularniejszykomunikator VoIP świata, microsoftowe Skype, był obarczony takpoważną luką bezpieczeństwa? Teraz, gdy standardowy w Windowskomunikator Messenger został porzucony, a konta w tej usłudze sąmigrowane właśnie do Skype'a, okazuje się, że proceduryodzyskiwania haseł stosowane przez pracowników pomocy technicznejtej usługi są wręcz trywialnie łatwe do wykorzystania przez osobypostronne.Na łamach forum społeczności Skype użytkownik Dylan ostrzega,że wykradnięcie dostępu do konta w tym komunikatorze jestśmiesznie łatwe. W zasadzie może zrobić to niemal każdy, ktotrochę zna ofiarę – wystarczy, że jest w stanie podać kilkakontaktów z jej listy, adres e-mail użyty do rejestracji oraz imięi nazwisko. To wszystko, nie ma żadnych innych zabezpieczeń.Odkrywca luki pisze, że w ten sposób jego konto zostałoskradzione sześć razy w ciągu jednego dnia, a mimo to pomoctechniczna Skype nie widziała żadnego problemu. Konsekwencjekradzieży były dotkliwe – złodziej wykorzystał konto dooszukania ludzi na setki dolarów, jednocześnie szkodząc reputacjiofiary, praktycznie bezbronnej, gdyż jak by złożone hasło niebyło ustawiane, każdy mógł ponowić atak w dowolnym momencie,znając jedynie podstawowe dane.Nie pierwszy raz pojawiają się w Sieci doniesienia na ten temat;na forach hakerskich od ponad roku można kupić poradniki, opisującejak krok po kroku zidentyfikować adres IP ofiary, pozyskać jejpodstawowe dane, a następnie wykorzystać je do przejęcia konta. Odtego czasu niewiele się zmieniło: dopiero po ujawnieniu w ostatniąsobotę przez Dylana powtarzających się incydentów kradzieży jegokonta w Skype, wsparcie techniczne dodało dodatkowe „zabezpieczenie”do procedury odzyskiwania hasła – czy kupował w przeszłościkonto premium. [img=fixing]Okazuje się nawet, że wsytuacji takiego naruszenia bezpieczeństwa nie można nawet zawiesićdostępu do swojego konta – mimo że Dylan dwukrotnie prosił otaką blokadę, po 48 godzinach nic się nie zmieniło.Bez radykalnej zmiany polityki,sprawa może skończyć się dla Microsoftu w sposób bardzonieprzyjemny. W Sieci pojawiają się deklaracje, że odpowiedzialnymza złodziejstwo kont powinien być sam operator usługi, nie mamy tubowiem do czynienia z jakimś wyrafinowanym hakerskim atakiem,wykorzystującym trudne do załatania luki w oprogramowaniu, lecz zezwykłą bezmyślnością osób piszących procedury. Poszkodowanyużytkownik sugeruje więc, że to, czego potrzebuje Skype, topytania bezpieczeństwa, dwuskładnikowy proces uwierzytelnienia,kompetentna i rozumiejąca angielski pomoc techniczna, dostępna 24godziny na dobę i polityka pozwalająca na faktyczną weryfikacjęwłasności kont.Jak na razie do tego daleko:jeden z internautów donosi, że próbując przetestować taki atakna swoim koncie, udzielał odpowiedzi w stylu nie jestempewien czy zapomniałem– i to wystarczyło pomocy technicznej Skype'a.