Skype angreifbar: Account-Übernahme in Windeseile

14. November 2012 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Oha, da könnte man fast im Strahl brechen, wenn man nachliest, wie einfach eine Account-Übernahme bei Sykpe ist. Ich war gerade mal wieder bei Hacker News unterwegs und bin auf eine russische Seite gestoßen, die zeigt, wie einfach es ist, einen Skype-Account zu übernehmen. Lediglich sechs kurze Schritte sind nötig. Kurzform, bei Interesse lest ihr selber auf der Seite das HowTo nach: man registriert einen zweiten Accountnamen auf die E-Mail-Adresse des “Opfers”.

Man loggt sich mit dem neuen Account ein, der logischerweise leer ist, nutzt dann aber die Passwort vergessen-Funktion von Skype, die nachher temporäre Codes für alle unter der Adresse verfügbaren Codes rauswirft, um das Passwort zurückzusetzen, beziehungsweise eine neue, primäre E-Mail-Adresse anzugeben. Ich habe den Spaß natürlich mal mit einem Test-Account ausprobiert, Microsoft ist schon fix dabei und hat die “Passwort vergessen”-Geschichte wohl erst einmal temporär deaktiviert. Krasse Sache. Eine E-Mail-Adresse des Opfers reicht, um das Skype-Konto komplett zu übernehmen. Setzen, sechs.

»

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 15511 Artikel geschrieben.


16 Kommentare

Chris 14. November 2012 um 11:08 Uhr

Wie gut, dass man seinen Skype Account NICHT löschen kann!

Stephan 14. November 2012 um 11:13 Uhr

Wenn ich das richtig verstanden habe, dann muss der Hacker also auch Zugriff auf das E-Mail Konto des Opfers haben?
Ich glaube dann hat das arme Opfer größere Probleme als seinen Skype Account zu verlieren..

Wenn der Hacker aber den Zugriff auf das E-Mail Konto nicht braucht, ist das natürlich wirklich eine unglaubliche Frechheit!

Stephan 14. November 2012 um 11:20 Uhr

ah ok :D
Dann ist das natürlich ein ordentlicher fail von MS.

benni 14. November 2012 um 11:24 Uhr

wieso ist das jetzt wieder Microsoft schuld? Denkst du auch mal nach bevor du postest? Nur weil ein Unternehmen ein anderes aufkauft, heißt das nicht, dass sofort die ganzen Anwendungen umgeschrieben werden. Skype wurde nicht von Microsoft programmiert sondern von den Entwicklern die bei Skype arbeiten bevor Microsoft eingestiegen ist.. Man man man. Mal n bisschen über den Tellerrand hinausschauen wäre nett.

Michael 14. November 2012 um 11:24 Uhr

Peinlich^3

Jens 14. November 2012 um 11:24 Uhr

Erinnert mich daran, wie ich vor einiger Zeit mal einen Account bei einem grossem Internetgemischtwarenladen und Marktplatz, ex Onlinebuchhändler, löschen lassen wollte. Ich hatte wohl über die Zeit drei Accounts registriert (Warum? Kann ich nicht beantworten.), wollte jetzt zwei davon entfernen lassen, da deren Wunschzettel auf uraltem Stand und mit meinem Realnamen immer noch im Netz standen. Die liefen aber alle über die selbe Emailadresse, es waren aber dennoch drei unterschiedliche Accounts (Datenbankdesign: Unglücklich.). Dadurch liess sich das Passwort auch nicht über die “Passwort vergessen”-Funktion wiedergewinnen. Telefonisch mit einem (kompetentem, techniknahem) Servicemitarbeiter geschnackt, die Löschung war auch möglich. Bloss… die Unterscheidung der drei Accounts lief über das Passwort. Sprich: Einloggen mit derselben Emailadresse (die gleichzeitig Loginname ist), aber unterschiedlichen Passwörtern führte zu unterschiedlichen Accounts, die “Passwort vergessen”-Funktion führte aber nur zur Änderung in einem Account.

TwiNN 14. November 2012 um 11:59 Uhr

Was den Gemischtwarenhändler angeht, hätte ich hier noch einen interessanten Link:
http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/
Da geht es auch darum, wie einfach es sein kann, Passwörter herauszufinden. Skype ist da leider kein Einzelfall. Das gibt einen dann schon zu denken.

Kay 14. November 2012 um 15:25 Uhr

Eigentlich hat Microsoft die Lücke wohl geschlossen… Eigentlich:
https://login.skype.com/account/password-automation

Micha 14. November 2012 um 22:34 Uhr

Ich raff das leider nicht :-/ Wenn ich eine fremde Email angebe, dann bekommt doch der Inhaber der Email die Daten und nicht ich. Kann man das evtl für doofe nochmal in Kurzform erklären :-(

Lg

Micha 18. November 2012 um 17:46 Uhr

Schade das nichts weiter gekommen ist…egal…Schönes WE noch :-)

Lg


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.