Un grupo de hackers rusos descubrieron la falla y los datos publicados en Internet. Desde entonces, The Next Web ha confirmado que la técnica funciona.
El error de los programadores consistía en lo siguiente: si un 'hacker' tenía una cuenta en Skype y conoce el correo electrónico indicado en la cuenta de otro usuario, el atacante podía obtener acceso a la cuenta sin necesidad de tener conocimientos específicos de informática. Simplemente debía escribir el correo de la víctima en su perfil como dirección principal e iniciar el proceso de recuperación de contraseña.
Olga Shelestova, experta de la empresa Positive Technologies, que trabaja en el área de seguridad de la información, comenta que dicha vulnerabilidad podía teóricamente obtener un carácter global, dado que la automatización del proceso no requiere muchos esfuerzos. Para introducir el correo electrónicono es necesario escribir un CAPTHA (conjunto de caracteres que se muestran distorsionados para comprobar que la operación es realizada por una persona).
La compañía Skype fue fundanda en 2003. El número de usuarios registrados es de más de 500 millones de personas. En el año 2011 la multinacional Microsoft compró la empresa por 8,5 millones de dólares
[The Next Web via Verge]
Actualización:
Skype ha emitido la siguiente declaración, explicando que debe ser seguro por ahora:
"Hemos tenido informes de una cuestión de seguridad nueva vulnerabilidad.Como medida de precaución hemos desactivado temporalmente de restablecimiento de contraseña a medida que seguimos para investigar la cuestión. Pedimos disculpas por las molestias, pero la experiencia del usuario y la seguridad es nuestra primera prioridad"
0 comentarios:
Publicar un comentario