Skype angreifbar: Account-Übernahme in Windeseile
von caschy | 16 Kommentare
Oha, da könnte man fast im Strahl brechen, wenn man nachliest, wie einfach eine Account-Übernahme bei Sykpe ist. Ich war gerade mal wieder bei Hacker News unterwegs und bin auf eine russische Seite gestoßen, die zeigt, wie einfach es ist, einen Skype-Account zu übernehmen. Lediglich sechs kurze Schritte sind nötig. Kurzform, bei Interesse lest ihr selber auf der Seite das HowTo nach: man registriert einen zweiten Accountnamen auf die E-Mail-Adresse des „Opfers“.
Man loggt sich mit dem neuen Account ein, der logischerweise leer ist, nutzt dann aber die Passwort vergessen-Funktion von Skype, die nachher temporäre Codes für alle unter der Adresse verfügbaren Codes rauswirft, um das Passwort zurückzusetzen, beziehungsweise eine neue, primäre E-Mail-Adresse anzugeben. Ich habe den Spaß natürlich mal mit einem Test-Account ausprobiert, Microsoft ist schon fix dabei und hat die „Passwort vergessen“-Geschichte wohl erst einmal temporär deaktiviert. Krasse Sache. Eine E-Mail-Adresse des Opfers reicht, um das Skype-Konto komplett zu übernehmen. Setzen, sechs.
Wird geladen ...
Wie gut, dass man seinen Skype Account NICHT löschen kann!
Wenn ich das richtig verstanden habe, dann muss der Hacker also auch Zugriff auf das E-Mail Konto des Opfers haben?
Ich glaube dann hat das arme Opfer größere Probleme als seinen Skype Account zu verlieren..
Wenn der Hacker aber den Zugriff auf das E-Mail Konto nicht braucht, ist das natürlich wirklich eine unglaubliche Frechheit!
Falsch verstanden.
ah ok 😀
Dann ist das natürlich ein ordentlicher fail von MS.
wieso ist das jetzt wieder Microsoft schuld? Denkst du auch mal nach bevor du postest? Nur weil ein Unternehmen ein anderes aufkauft, heißt das nicht, dass sofort die ganzen Anwendungen umgeschrieben werden. Skype wurde nicht von Microsoft programmiert sondern von den Entwicklern die bei Skype arbeiten bevor Microsoft eingestiegen ist.. Man man man. Mal n bisschen über den Tellerrand hinausschauen wäre nett.
Peinlich^3
Erinnert mich daran, wie ich vor einiger Zeit mal einen Account bei einem grossem Internetgemischtwarenladen und Marktplatz, ex Onlinebuchhändler, löschen lassen wollte. Ich hatte wohl über die Zeit drei Accounts registriert (Warum? Kann ich nicht beantworten.), wollte jetzt zwei davon entfernen lassen, da deren Wunschzettel auf uraltem Stand und mit meinem Realnamen immer noch im Netz standen. Die liefen aber alle über die selbe Emailadresse, es waren aber dennoch drei unterschiedliche Accounts (Datenbankdesign: Unglücklich.). Dadurch liess sich das Passwort auch nicht über die „Passwort vergessen“-Funktion wiedergewinnen. Telefonisch mit einem (kompetentem, techniknahem) Servicemitarbeiter geschnackt, die Löschung war auch möglich. Bloss… die Unterscheidung der drei Accounts lief über das Passwort. Sprich: Einloggen mit derselben Emailadresse (die gleichzeitig Loginname ist), aber unterschiedlichen Passwörtern führte zu unterschiedlichen Accounts, die „Passwort vergessen“-Funktion führte aber nur zur Änderung in einem Account.
Was den Gemischtwarenhändler angeht, hätte ich hier noch einen interessanten Link:
http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/
Da geht es auch darum, wie einfach es sein kann, Passwörter herauszufinden. Skype ist da leider kein Einzelfall. Das gibt einen dann schon zu denken.
Eigentlich hat Microsoft die Lücke wohl geschlossen… Eigentlich:
https://login.skype.com/account/password-automation
Ich raff das leider nicht :-/ Wenn ich eine fremde Email angebe, dann bekommt doch der Inhaber der Email die Daten und nicht ich. Kann man das evtl für doofe nochmal in Kurzform erklären 🙁
Lg
Schade das nichts weiter gekommen ist…egal…Schönes WE noch 🙂
Lg