Página Inicial



twitter

Facebook

  Notícia
|

 

SKYPE BLOQUEIA RECURSO DE REDEFINIÇÃO DE SENHA POR MEIO DO SITE

15/11/2012

O Skype desabilitou a opção para redefinir a senha por meio de seu website por conta de relatos que diziam que o recurso poderia ser explorado e as contas sequestradas caso os atacantes simplesmente soubessem os endereços de e-mails associados a elas.

Instruções sobre como explorar essa falha de segurança foram relatadas na terça-feira em um
fórum russo. A informação foi, mais tarde, publicada do Reddit e alguns blogs confirmaram que o método de sequestro da conta funcionava perfeitamente.

Ainda não está claro se a questão foi resultado de uma falha lógica no projeto ou se é um bug no cliente do Skype ou no site. De acordo com relatórios, o site do software permitia que um atacante em potencial criasse uma nova conta Skype utilizando o e-mail associado a uma conta já existente.

Desse modo, o cracker poderia logar no cliente do Skype com a nova conta, realizar uma série de atualizações na tela inicial e acionar a redefinição de senha para aquela conta, por meio do site. Essa ação deveria resultar no envio de uma mensagem de e-mail do website que contém um link único para redefinição da senha para o e-mail registrado.

No entanto, é acionado uma notificação para redefinição de senha na própria tela inicial do cliente Skype - tela essa que o cracker já está logado. Ao clicar no botão "mais informações" dessa notificação, seria fornecido ao atacante um link para a redefinição de senha e um código único, sem que necessariamente seja preciso acessar o e-mail.

Ao clicar no link de redefinição de senha, o atacante é redirecionado a uma página no site da Skype que fornece a opção de alterar a senha a partir de qualquer uma das contas associadas a esse endereço de email, incluindo a conta original do usuário legítimo.

"Recebemos relatos sobre uma vulnerabilidade de segurança", disse o representante do Skype Sravanthi Agrawal, nesta quarta-feira, por e-mail. "Como medida de precaução, desativamos temporariamente a redefinição de senha, enquanto investigamos o problema mais a fundo. Pedimos desculpas pelo inconveniente, mas a experiência do usuário e sua segurança é a nossa prioridade."

Se ter várias contas Skype associadas ao mesmo e-mail é uma funcionalidade intencional, então uma solução simples seria enviar um link de ativação da nova conta para o endereço de e-mail fornecido anteriormente. Este é o procedimento padrão para outros serviços e teria bloqueado o ataque desde o início, já que o cracker não seria capaz de ativar a nova conta e realizar as outras etapas do processo.

Uma vez que esta vulnerabilidade se tornou pública, vale a pena os usuários ​alterarem suas senhas apenas por precaução.

O site do Skype permite que usuários logados associem um outro endereço de e-mail às contas e excluam o antigo. Este recurso pode ser usado para alterar o endereço de e-mail por um que não seja conhecido por ninguém e, portanto, reduzir as chances da conta ser atacada por meio de erros de redefinição de senha no futuro.
 
 
 
Fonte: IdgNow

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar