Skype angreifbar: Account-Übernahme in Windeseile

Oha, da könnte man fast im Strahl brechen, wenn man nachliest, wie einfach eine Account-Übernahme bei Sykpe ist. Ich war gerade mal wieder bei Hacker News unterwegs und bin auf eine russische Seite gestoßen, die zeigt, wie einfach es ist, einen Skype-Account zu übernehmen. Lediglich sechs kurze Schritte sind nötig. Kurzform, bei Interesse lest ihr selber auf der Seite das HowTo nach: man registriert einen zweiten Accountnamen auf die E-Mail-Adresse des „Opfers“.

Man loggt sich mit dem neuen Account ein, der logischerweise leer ist, nutzt dann aber die Passwort vergessen-Funktion von Skype, die nachher temporäre Codes für alle unter der Adresse verfügbaren Codes rauswirft, um das Passwort zurückzusetzen, beziehungsweise eine neue, primäre E-Mail-Adresse anzugeben. Ich habe den Spaß natürlich mal mit einem Test-Account ausprobiert, Microsoft ist schon fix dabei und hat die „Passwort vergessen“-Geschichte wohl erst einmal temporär deaktiviert. Krasse Sache. Eine E-Mail-Adresse des Opfers reicht, um das Skype-Konto komplett zu übernehmen. Setzen, sechs.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

16 Kommentare

  1. Wie gut, dass man seinen Skype Account NICHT löschen kann!

  2. Wenn ich das richtig verstanden habe, dann muss der Hacker also auch Zugriff auf das E-Mail Konto des Opfers haben?
    Ich glaube dann hat das arme Opfer größere Probleme als seinen Skype Account zu verlieren..

    Wenn der Hacker aber den Zugriff auf das E-Mail Konto nicht braucht, ist das natürlich wirklich eine unglaubliche Frechheit!

  3. Falsch verstanden.

  4. ah ok 😀
    Dann ist das natürlich ein ordentlicher fail von MS.

  5. wieso ist das jetzt wieder Microsoft schuld? Denkst du auch mal nach bevor du postest? Nur weil ein Unternehmen ein anderes aufkauft, heißt das nicht, dass sofort die ganzen Anwendungen umgeschrieben werden. Skype wurde nicht von Microsoft programmiert sondern von den Entwicklern die bei Skype arbeiten bevor Microsoft eingestiegen ist.. Man man man. Mal n bisschen über den Tellerrand hinausschauen wäre nett.

  6. Peinlich^3

  7. Erinnert mich daran, wie ich vor einiger Zeit mal einen Account bei einem grossem Internetgemischtwarenladen und Marktplatz, ex Onlinebuchhändler, löschen lassen wollte. Ich hatte wohl über die Zeit drei Accounts registriert (Warum? Kann ich nicht beantworten.), wollte jetzt zwei davon entfernen lassen, da deren Wunschzettel auf uraltem Stand und mit meinem Realnamen immer noch im Netz standen. Die liefen aber alle über die selbe Emailadresse, es waren aber dennoch drei unterschiedliche Accounts (Datenbankdesign: Unglücklich.). Dadurch liess sich das Passwort auch nicht über die „Passwort vergessen“-Funktion wiedergewinnen. Telefonisch mit einem (kompetentem, techniknahem) Servicemitarbeiter geschnackt, die Löschung war auch möglich. Bloss… die Unterscheidung der drei Accounts lief über das Passwort. Sprich: Einloggen mit derselben Emailadresse (die gleichzeitig Loginname ist), aber unterschiedlichen Passwörtern führte zu unterschiedlichen Accounts, die „Passwort vergessen“-Funktion führte aber nur zur Änderung in einem Account.

  8. Was den Gemischtwarenhändler angeht, hätte ich hier noch einen interessanten Link:
    http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/
    Da geht es auch darum, wie einfach es sein kann, Passwörter herauszufinden. Skype ist da leider kein Einzelfall. Das gibt einen dann schon zu denken.

  9. Eigentlich hat Microsoft die Lücke wohl geschlossen… Eigentlich:
    https://login.skype.com/account/password-automation

  10. Ich raff das leider nicht :-/ Wenn ich eine fremde Email angebe, dann bekommt doch der Inhaber der Email die Daten und nicht ich. Kann man das evtl für doofe nochmal in Kurzform erklären 🙁

    Lg

  11. Schade das nichts weiter gekommen ist…egal…Schönes WE noch 🙂

    Lg

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.