Skype: Sicherheitslücke ermöglichte einfache Übernahme von Accounts

[DH]

Jetzt ist Deine Meinung zu Skype: Sicherheitslücke ermöglichte einfache Übernahme von Accounts gefragt.


Bitte beachtet: Der Kommentarbereich wird gemäß der Forenregeln moderiert.


Zum Artikel: Skype: Sicherheitslücke ermöglichte einfache Übernahme von Accounts

 

[Exar-K]

Vielleicht habe ich einfach nur eine Denkblockade, aber was genau bringt einem dieses Vorgehen? Auf den Mailaccount, an den die Mail geschickt wurde, hat man doch keinen Zugriff. Wie soll man den Link aus dieser Mail dann anklicken?

 

[Mothman]

Vielleicht habe ich einfach nur eine Denkblockade, aber was genau bringt einem dieses Vorgehen? Auf den Mailaccount, an den die Mail geschickt wurde, hat man doch keinen Zugriff. Wie soll man den Link aus dieser Mail dann anklicken?

Genau da hört es bei mir auch auf. Um die Mail mit dem neuen Passwort zu sehen, braucht man ja neben der Email-Adresse auch das Passwort (für den EMAIL-Account). Und da hört es dann auf mit "einfache Übernahme".
Oder ich hab ebenfalls etwas nicht richtig verstanden.

Dass man die "Passwort verschicken Mail" unbefugt auslösen kann, ist ja nicht nur bei Skype so.
Wenn ich jetzt hier nen Usernamen kopiere und sage ich hab mein Passwort vergessen und diesen kopierten Namen dann eingebe, dann bekommt der User mit dem Namen die Mail zugeschickt. In solchen Mails steht dann ja auch meistens drin (sinngemäß): Sollten Sie kein neues Passwort angefordert haben, dann hat das jemand anderes unbefugt gemacht, oder ignorieren Sie diese Mail.

 

[meaph-isto]

Ich schließe mich meinen Vorrednern an: Wo genau soll das Problem liegen? Wenn ich schon Zugriff auf den fremden Mail-Account habe, kann ich auch direkt das Passwort des ersten Accounts zurücksetzen und muss nicht erst einen zweiten anlegen...

[EDIT]

Hier wird es etwas genauer beschrieben:
Man muss sich mit der fremden Mail Adresse ein Konto anlegen und mit diesem zweit-Konto bei Skype anmelden. Dann kann man direkt im Client das Passwort ändern (auch für den ersten Account), ohne eine Mail zu benötigen.

 

[Hawkins]

Wurde mittlerweile behoben:

Status announcements

Reported Security Issue - RESOLVED
By Leonas Sendrauskas on November 14, 2012.

[UPDATE:14/11/2012@15:28GMT]
Early this morning we were notified of user concerns surrounding the security of the password reset feature on our website. This issue affected some users where multiple Skype accounts were registered to the same email address. We suspended the password reset feature temporarily this morning as a precaution and have made updates to the password reset process today so that it is now working properly. We are reaching out to a small number of users who may have been impacted to assist as necessary. Skype is committed to providing a safe and secure communications experience to our users and we apologize for the inconvenience.

Hab das heute auf einer anderen Seite gelesen und es für nen schlechten Scherz gehalten da es doch so simpel ist. Sowas sollte bei einer Firma wie Skype mit 400 Mio Accounts doch wirklich nicht passieren.

Und wie Meaph-isto schon geschrieben hat: man brauchtt nur die email Adresse des Skype Accounts, man muss NICHT auf den email account des "Opfers" zugreifen.

Würde mich mal interessieren wie lang dieser Bug schon funktioniert.