|
|
Пишет dolboeb (![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small} dolboeb)@ 2012-11-14 04:16:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
Как взламывается Skype
У меня только что взломали Skype с использованием некоей принципиальной уязвимости сервиса, позволяющей третьим лицам получить код для смены пароля к любому аккаунту на произвольно выбранный почтовый адрес. То есть без взлома сервиса и без подбора паролей. Конкретный механизм, позволяющий это сделать, публиковать не хочу, могу лишь засвидетельствовать, что методика вполне себе рабочая.
Человек, который вломился в мой аккаунт, не стал устраивать там никакого вандализма, а просто позвонил мне в пятом часу утра, чтобы рассказать об использованной для взлома дырке. Мера защиты тут приходит в голову только одна: регистрировать аккаунт Skype с такого адреса электронной почты, который нигде не засвечен, и никому, кроме владельца, не известен. В этом случае злоумышленник не сможет его вычислить и подобрать. А для эксплойта знание почтового адреса жертвы является необходимым условием.
Не берусь предположить, сколько времени потребуется администрации сервиса на заделывание этой дырки в системе. Просто предупреждаю всех заинтересованных лиц о её существовании.
PS. Поскольку никакого вандализма на моем аккаунте взломщик не учинял, Скайп мой по-прежнему доступен. И я им по-прежнему не пользуюсь. Все, что он делает — переброска звонков на текущий номер мобильного (актуально в путешествиях, чтобы за роуминг не переплачивать).
У меня только что взломали Skype с использованием некоей принципиальной уязвимости сервиса, позволяющей третьим лицам получить код для смены пароля к любому аккаунту на произвольно выбранный почтовый адрес. То есть без взлома сервиса и без подбора паролей. Конкретный механизм, позволяющий это сделать, публиковать не хочу, могу лишь засвидетельствовать, что методика вполне себе рабочая.
Человек, который вломился в мой аккаунт, не стал устраивать там никакого вандализма, а просто позвонил мне в пятом часу утра, чтобы рассказать об использованной для взлома дырке. Мера защиты тут приходит в голову только одна: регистрировать аккаунт Skype с такого адреса электронной почты, который нигде не засвечен, и никому, кроме владельца, не известен. В этом случае злоумышленник не сможет его вычислить и подобрать. А для эксплойта знание почтового адреса жертвы является необходимым условием.
Не берусь предположить, сколько времени потребуется администрации сервиса на заделывание этой дырки в системе. Просто предупреждаю всех заинтересованных лиц о её существовании.
PS. Поскольку никакого вандализма на моем аккаунте взломщик не учинял, Скайп мой по-прежнему доступен. И я им по-прежнему не пользуюсь. Все, что он делает — переброска звонков на текущий номер мобильного (актуально в путешествиях, чтобы за роуминг не переплачивать).
