Skype устранил опасную уязвимость

На днях в Сети появилась информация о том, что в системе регистрации и восстановления пароля к учётной записи Skype обнаружилась серьёзная уязвимость. Оказалось, что при желании злоумышленники могут "угнать" аккаунт жертвы, зная только её почтовый адрес.

Чтобы получить контроль над чужой учётной записью, необходимо было проделать ряд простых действий, не требующих никаких хакерских навыков. Достаточно было зарегистрировать новый аккаунт на адрес жертвы – хотя в процессе Skype и предупреждал о том, что такая электронная почта уже используется, регистрация всё равно завершалась успешно.

После этого взломщику нужно было привязать к новой учётной записи свой собственный адрес в качестве дополнительного, очистить cookies в клиенте Skype и запросить восстановление пароля, указав при этом почтовый ящик жертвы. Ссылка с временным кодом для восстановления пароля приходила сразу на все привязанные к учётной записи адреса, в том числе на адрес взломщика.

Таким образом был взломан целый ряд аккаунтов, в том числе у довольно известных людей, включая российского оппозиционера Алексея Навального. Как только Skype уведомили о наличии уязвимости, механизм восстановления паролей был временно отключён. К вечеру 14 ноября компания выпустила обновление, устраняющее эту ошибку. Сервис принёс извинения пострадавшим и пообещал помочь им в восстановлении доступа к "угнанным" учётным записям.