Защита Skype от взлома оказалась слабой
Вчера Skype сообщил о временном отключении функции сброса пароля. По словам его представителя Леонаса Сендраускаса, Skype расследует жалобы пользователей на кражу их аккаунтов.
Накануне пользователь русскоязычного сайта xeksec.com описал примерную схему взлома и рассказал, что за последнюю неделю с ее помощью взломали аккаунты 10 его друзей. Для этого оказалось достаточно узнать адрес привязанного к Skype почтового ящика пользователя. А вот доступ к этому ящику не нужен — единственным способом защиты от взлома было указать при регистрации почтовый адрес, не известный никому. Пользователь сообщил, что пожаловался в Skype на уязвимость пару месяцев назад, но ее до сих пор не устранили.
Через несколько часов пользователи восстановили и опубликовали на популярном сайте habrahabr.ru точный план взлома, который тут же опробовали на известных блогерах рунета. О взломах своих Skype сообщили медиадиректор SUP Media Антон Носик, фотоблогер Илья Варламов и оппозиционный политик Алексей Навальный. Носик в своем дневнике рассказал, что взломщик позвонил ему в 5 часов утра и рассказал об уязвимости. Варламов восстановил контроль над своим аккаунтом — такая возможность остается, если взломщик не отключил привязку Skype к почтовому ящику жертвы. А Навальный и вовсе лишился Skype, о чем сообщил в своем твиттере. Взломан аккаунт и ведущего аналитика MRG Эльдара Муртазина, рассказал он «Ведомостям». Теперь Муртазин пытается убедить Skype вернуть ему аккаунт. По его словам, он не может зайти в Skype через пароль, но доступ к аккаунту он смог получить через привязанный к нему аккаунт службы Live от Microsoft.
Раньше взломщикам Skype требовались хакерские навыки: нужно было выманить пароль к аккаунту — обманом, с помощью вирусов или перебором, говорит гендиректор Group-IB Илья Сачков, поэтому взломы не были массовыми. Чтобы заработать на чужих Skype, нужно взломать аккаунты платных пользователей и звонить на номера городских телефонов, но в Skype люди редко хранят большие суммы, сказал Сачков. Другой способ — взлом Skype коммерческих организаций. По словам Сачкова, в начале ноября злоумышленники перехватили контроль над Skype технической поддержки онлайн-служб обмена валют wm-center.com и Magnetic Exchange. Через них взломщики связывались с клиентами, представляясь сотрудниками служб, и похищали переданные для обмена деньги.
Еще Skype можно использовать для промышленного шпионажа, продолжает Сачков. В июле 2012 г. директор Skype по разработкам и операционной деятельности Марк Жиллетт признал, что для доставки сообщений на разные устройства пользователей сервис временно хранит текстовый архив на своих серверах, который может передать правоохранительным органам по их запросу. По словам Сачкова, тот, кто перехватит аккаунт, получит и доступ к этим старым сообщениям пользователя с серверов Skype. Муртазин подтверждает это — по его данным, на сервере Skype хранится вся его переписка с весны 2011 г. (когда Skype был продан Microsoft). Аналитик вел через Skype только личную переписку, но, если она будет опубликована, грозится засудить Microsoft.