Minden Skype-fiók ellopható?

Még a múlt héten közölte azt az azóta is visszhangtalanul maradt tudósítást a ZDnet újságírója, amelyben egy biztonsági szakember esetét ismerteti. A történet roppant izgalmas, és amennyiben igazak a szakember állításai, akkor a Skype fiók-helyreállítási gyakorlata végtelenül sebezhető, és gyakorlatilag bárkinek a fiókját „ellophatják”.

Az említett szakember (csak nicknéven szerepel: @TibitXimer) azt állítja, hogy nemrégiben hat alkalommal „nyúlták le” a Skype-fiókját, vagyis szerezték meg a bejelentkezési adatait, és akkor jött rá a rendszer gyengeségeire, miközben igyekezett helyreállítani a korábbi állapotot. Az első alkalommal nem tudni, hogy szerezték meg az adatait, elképzelhető, hogy valamilyen social engineering technikával jutottak hozzá, vagyis úgy, hogy nem magát a programot, a szolgáltatást támadják meg informatikai módszerekkel, hanem egyéb módon (például ellopják azt a papírdarabot, amire a jelszót felírták, becsapós e-maillel csalják ki a tulajdonostól stb.) jutnak hozzá töredék vagy teljes információkhoz, és ebből rakják össze a bejelentkezéshez szükséges adatokat.

A bőségesen dokumentált blogbejegyzésben @TibitXimer rámutat, hogy a Skype ügyfélszolgálata a fiók helyreállításakor nem ellenőrzi a személyazonosságot, mindössze három dolgot kérdeznek: 3-5 Skype-partner nevét, egy olyan e-mail címet, amelyet a felhasználó használt a Skype-hoz, illetve a vezeték és/vagy a keresztnevét. Ezek után helyreállítják a fiókot, és a panaszosnak ilyenkor lehetősége van jelszót is változtatni. Mivel a felsorolt információkat nem túl nehéz megszerezni, így egy idegen a support segítségével könnyedén átveheti az irányítást a fiók fölött.

skype support

A panaszos többször is próbálta jelezni a problémát a Skype-nak, de vagy nem értették meg, mit akar, vagy pedig nem vették komolyan. Ugyanakkor blogbejegyzéséhez több olyan hozzászólás is érkezett, melyek megerősítik az általa leírtakat.

A szakember úgy véli, ideje lenne a Skype ügyfélszolgálatának szigorúbb azonosítást bevezetni a fiók-helyreállításnál: tegyenek fel biztonsági kérdéseket, alkalmazzanak kétfaktoros azonosítást, a jelenleginél alaposabb ügyfélszolgálat működjék a hét minden napján 24 órában, készítsenek egy új biztonsági előírásrendszert, amelyik alapján valóban leellenőrzik a bejelentő személyazonosságát. A jelenlegi rendszerben csak az a felhasználó van bizonyos mértékig biztonságban, aki a Skype-nál egy egyedi, máshol nem használt e-mail címet ad meg.

Hirdetés

Azóta történt

Előzmények