Skype vulnerabile: entrare nell'account di un altro
È stata scoperta una grave vulnerabilità su Skype ieri - replicata anche da The Next Web - che permetteva alle persone di effettuare il login con un'email di un altro utente e poi richiedere il reset della password per qualunque account associato a quest'email. I codici per il reset erano mandati direttamente al client di Skype con la conseguenza che non era necessario accedere alla propria casella di posta per poter completare il reset, come normalmente avviene per maggiore sicurezza.
Il bug, in realtà, è vecchio di qualche mese - precedente a Dorkbot -, ma sembra che abbia portato a un picco di attacchi solo di recente. Il problema è stato notato sia da Skype che da Microsoft e la buona notizia è che hanno implementato una patch temporanea disabilitando la pagina per il reset della password. Questo vuol dire che gli account sono sicuri per il momento e che non è necessario fare nulla da parte nostra per proteggerci ulteriormente.
Come soluzione a lungo termine, Skype disabiliterà l'invio al client dei codici per il reset della password o dovrà assicurarsi che non è possibile che ci siano più account associati allo stesso indirizzo email. Non dovrebbe essere un problema difficile da risolvere e ci chiediamo come mai questo si sia protratto così a lungo quando era noto da tempo.
Che Skype si sia concentrata a sviluppare il nuovo client per Windows 8? Oppure è stato il pensionamento di Windows Live Messenger a mettere più pressione del solito sugli sviluppatori del software VoIP?
- [21/04/11] Skype per Android patchato a tempo di record
- [23/01/08] Skype: vulnerabilità Cross-Zone Scripting
- [20/08/06] Rubare le password di MSN Messenger
- [14/07/05] Attacchi phishing contro accounts Altervista
- [26/09/03] Come ti svelo la password. In 5 secondi