Morfindel Werwulf Rúnarmo
Geofísico entende de terremoto
Uma nova vulnerabilidade no serviço de videoconferências Skype foi descoberta recentemente e permitia que qualquer pessoa mal intencionada hackeasse e tivesse acesso às contas do serviço apenas com um endereço de e-mail. Em apenas seis passos, a conta podia ser hackeada, graças à política usada pelo Skype, ou Microsoft, para a mudança de senha.
Normalmente, quando esquecemos alguma de nossas senhas, a sua mudança é efetuada através do nosso endereço de e-mail e com a confirmação de uma mensagem enviada pelo serviço para nossa caixa de entrada, certo? No entanto, o Skype apresentou falhas nesta regra de segurança e permitiu que a alteração de senha fosse feita através de sua própria página, sem a necessidade de confirmar qualquer mensagem.
Com esta vulnerabilidade, qualquer pessoa que tivesse o endereço de e-mail de outra poderia alterar sua senha, bloquear o usuário original e passar a usar a conta já registrada no Skype. Uma vez registrada, a solicitação de mudança de senha podia ser feita por qualquer pessoa usando uma conta fictícia, e como existe mais de uma pessoa usando o mesmo endereço, o hacker podia selecionar o nome, redefinir a senha e impedir o acesso do verdadeiro dono à sua conta.
Para redefinir senha, o usuário do Skype não precisava confirmar nenhuma mensagem enviada à sua caixa de entrada
A falha de segurança reside exatamente neste ponto, onde o cibercriminoso pode facilmente alterar a senha e bloquear o login do usuário antes listado no Skype. Além disso, a razão pela qual a vulnerabilidade funciona perfeitamente é que uma vez que o usuário acessa sua conta no serviço, o Skype registra seu endereço de e-mail e, infelizmente, este recurso permitia que qualquer pessoa alterasse a senha de acesso através do aplicativo do próprio serviço.
A Microsoft está ciente do problema há mais de três meses e os usuários aguardam uma atualização do serviço que corrija a vulnerabilidade.
afirmou em comunicado oficial o Skype."Tivemos relatos de uma nova vulnerabilidade de segurança. Como medida de precaução, desativamos temporariamente o recurso de redefinição de senhas, enquanto continuamos investigando o problema em profundidade. Pedimos desculpas pelo inconveniente, mas a experiência do usuário e sua segurança são nossas prioridades",
[h=2]Reparo da falha[/h]
Na tarde desta quarta-feira (14), o Skype e a Microsoft anunciaram que corrigiram o problema e a página de redefinição de senhas foi reativada.
afirmou a empresa em comunicado."Nesta manhã fomos notificados sobre problemas envolvendo a segurança de nossos usuários no recurso de redefinição de senhas. Esse problema afetou alguns usuários, onde muitas contas Skype foram registradas com o mesmo endereço de e-mail. Suspendemos o recurso de redefinição de senha temporariamente esta manhã por precaução e fizemos as atualizações necessárias no processo de redefinição de senhas e agora, ele está funcionando perfeitamente. Estamos identificando o pequeno número de usuários que podem ter sido afetados pelo problema para prestarmos a assistência necessária. O Skype está comprometido em oferecer uma experiência de comunicação segura para nossos usuários e pedimos desculpas pelo inconveniente",
Os usuários poderão atualizar suas senhas normalmente através da página de redefinição, que pode ser facilmente acessada pelo perfil do usuário.
Fonte