O Skype desabilitou a opção para redefinir a senha por meio de seu
website por conta de relatos que diziam que o recurso poderia ser
explorado e as contas sequestradas caso os atacantes simplesmente
soubessem os endereços de e-mails associados a elas.
Instruções sobre como explorar essa falha de segurança foram relatadas na terça-feira em um fórum russo. A informação foi, mais tarde, publicada do Reddit e alguns blogs confirmaram que o método de sequestro da conta funcionava perfeitamente.
Ainda não está claro se a questão foi resultado de uma falha lógica no projeto ou se é um bug no cliente do Skype ou no site. De acordo com relatórios, o site do software permitia que um atacante em potencial criasse uma nova conta Skype utilizando o e-mail associado a uma conta já existente.
Desse modo, o cracker poderia logar no cliente do Skype com a nova conta, realizar uma série de atualizações na tela inicial e acionar a redefinição de senha para aquela conta, por meio do site. Essa ação deveria resultar no envio de uma mensagem de e-mail do website que contém um link único para redefinição da senha para o e-mail registrado.
Instruções sobre como explorar essa falha de segurança foram relatadas na terça-feira em um fórum russo. A informação foi, mais tarde, publicada do Reddit e alguns blogs confirmaram que o método de sequestro da conta funcionava perfeitamente.
Ainda não está claro se a questão foi resultado de uma falha lógica no projeto ou se é um bug no cliente do Skype ou no site. De acordo com relatórios, o site do software permitia que um atacante em potencial criasse uma nova conta Skype utilizando o e-mail associado a uma conta já existente.
Desse modo, o cracker poderia logar no cliente do Skype com a nova conta, realizar uma série de atualizações na tela inicial e acionar a redefinição de senha para aquela conta, por meio do site. Essa ação deveria resultar no envio de uma mensagem de e-mail do website que contém um link único para redefinição da senha para o e-mail registrado.
No entanto, é acionado uma notificação para redefinição de senha na
própria tela inicial do cliente Skype - tela essa que o cracker já está
logado. Ao clicar no botão "mais informações" dessa notificação, seria
fornecido ao atacante um link para a redefinição de senha e um código
único, sem que necessariamente seja preciso acessar o e-mail.
Ao clicar no link de redefinição de senha, o atacante é redirecionado a uma página no site da Skype que fornece a opção de alterar a senha a partir de qualquer uma das contas associadas a esse endereço de email, incluindo a conta original do usuário legítimo.
"Recebemos relatos sobre uma vulnerabilidade de segurança", disse o representante do Skype Sravanthi Agrawal, nesta quarta-feira, por e-mail. "Como medida de precaução, desativamos temporariamente a redefinição de senha, enquanto investigamos o problema mais a fundo. Pedimos desculpas pelo inconveniente, mas a experiência do usuário e sua segurança é a nossa prioridade."
Se ter várias contas Skype associadas ao mesmo e-mail é uma funcionalidade intencional, então uma solução simples seria enviar um link de ativação da nova conta para o endereço de e-mail fornecido anteriormente. Este é o procedimento padrão para outros serviços e teria bloqueado o ataque desde o início, já que o cracker não seria capaz de ativar a nova conta e realizar as outras etapas do processo.
Uma vez que esta vulnerabilidade se tornou pública, vale a pena os usuários alterarem suas senhas apenas por precaução.
O site do Skype permite que usuários logados associem um outro endereço de e-mail às contas e excluam o antigo. Este recurso pode ser usado para alterar o endereço de e-mail por um que não seja conhecido por ninguém e, portanto, reduzir as chances da conta ser atacada por meio de erros de redefinição de senha no futuro.
Ao clicar no link de redefinição de senha, o atacante é redirecionado a uma página no site da Skype que fornece a opção de alterar a senha a partir de qualquer uma das contas associadas a esse endereço de email, incluindo a conta original do usuário legítimo.
"Recebemos relatos sobre uma vulnerabilidade de segurança", disse o representante do Skype Sravanthi Agrawal, nesta quarta-feira, por e-mail. "Como medida de precaução, desativamos temporariamente a redefinição de senha, enquanto investigamos o problema mais a fundo. Pedimos desculpas pelo inconveniente, mas a experiência do usuário e sua segurança é a nossa prioridade."
Se ter várias contas Skype associadas ao mesmo e-mail é uma funcionalidade intencional, então uma solução simples seria enviar um link de ativação da nova conta para o endereço de e-mail fornecido anteriormente. Este é o procedimento padrão para outros serviços e teria bloqueado o ataque desde o início, já que o cracker não seria capaz de ativar a nova conta e realizar as outras etapas do processo.
Uma vez que esta vulnerabilidade se tornou pública, vale a pena os usuários alterarem suas senhas apenas por precaução.
O site do Skype permite que usuários logados associem um outro endereço de e-mail às contas e excluam o antigo. Este recurso pode ser usado para alterar o endereço de e-mail por um que não seja conhecido por ninguém e, portanto, reduzir as chances da conta ser atacada por meio de erros de redefinição de senha no futuro.
Via: IDG Now
Nenhum comentário:
Postar um comentário