В Skype обнаружена критическая уязвимость, позволяющая взломать любой аккаунт зная только адрес электронной почты жертвы, сообщается в блоге «Хабрахабр».
Взлома работает по следующей схеме: зарегистрировав новый аккаунт Skype на e-mail жертвы нужно войти в созданный аккаунт, удалить все файлы cookie и запросить восстановление пароля. После этого Skype пошлет уведомление «Маркер пароля», в котором содержится ссылка.
Перейдя по ссылке, пользователь может выбрать, для какого аккаунта Skype, зарегистрированного на данный адрес электронной почты, он хочет изменить пароль. Среди данных аккаунтов будет как тот, который пользователь зарегистрировал на чужой e-mail, так и логин владельца этого mail-а. Т.е., без доступа к чужому ящику и без знания старого пароля, чужой пароль можно поменять.
Особенность этой уязвимости заключается в том, что взломщик не может полностью лишить владельца аккаунта доступа к нему, так как уведомление о смене пароля придет и на почтовый ящик того, чей аккаунт взломан. Единственным выходом из ситуации пользователи «Хабрахабра» называют перерегистрацию Skype на e-mail, который никто не знает и который не засвечен в базах.
Представители Skype пока никак не комментируют данную ситуацию.
