Защита Skype от взлома оказалась слабой

Вчера Skype сообщил о временном отключени­и функции сброса пароля. По словам его представителя Леонаса Сендраускаса, Skype расследует жалобы пользователей на кражу их аккаунтов.

Накануне пользователь русскоязычного сайта xeksec.com описал примерную схему взлома и рассказал, что за последнюю неделю с ее помощью взломали аккаунты 10 его друзей. Для этого оказалось достаточно узнать адрес привязанного к Skype почтового ящика пользователя. А вот доступ к этому ящику не нужен — единственным способом защиты от взлома было указать при регистрации почтовый адрес, не известный ни­кому. Пользователь сообщил, что пожаловался в Skype на уязвимость пару месяцев назад, но ее до сих пор не устрани­ли.

Через несколько часов пользователи восстановили и опубликовали на популярном сайте habrahabr.ru точный план взлома, который тут же опробовали на известных блогерах рунета. О взломах своих Skype сообщили медиадиректор SUP Media Антон Носик, фотоблогер Илья Варламов и оппозиционный политик Алексей Навальный. Носик в своем дневни­ке рассказал, что взломщик позвони­л ему в 5 часов утра и рассказал об уязвимости. Варламов восстановил контроль над своим аккаунтом — такая возможность остается, если взломщик не отключил привязку Skype к почтовому ящику жертвы. А Навальный и вовсе лишился Skype, о чем сообщил в своем твиттере. Взломан аккаунт и ведущего аналитика MRG Эльдара Муртазина, рассказал он «Ведомостям». Теперь Муртазин пытается убедить Skype вернуть ему аккаунт. По его словам, он не может зайти в Skype через пароль, но доступ к аккаунту он смог получить через привязанный к нему аккаунт службы Live от Microsoft.

Раньше взломщикам Skype требовались хакерские навыки: нужно было вымани­ть пароль к аккаунту — обманом, с помощью вирусов или перебором, говорит гендиректор Group-IB Илья Сачков, поэтому взломы не были массовыми. Чтобы заработать на чужих Skype, нужно взломать аккаунты платных пользователей и звони­ть на номера городских телефонов, но в Skype люди редко хранят большие суммы, сказал Сачков. Другой способ — взлом Skype коммерческих органи­заций. По словам Сачкова, в начале ноября злоумышленни­ки перехватили контроль над Skype техни­ческой поддержки онлайн-служб обмена валют wm-center.com и Magnetic Exchange. Через ни­х взломщики связывались с клиентами, представляясь сотрудни­ками служб, и похищали переданные для обмена деньги.

Еще Skype можно использовать для промышленного шпионажа, продолжает Сачков. В июле 2012 г. директор Skype по разработкам и операционной деятельности Марк Жиллетт признал, что для доставки сообщени­й на разные устройства пользователей сервис временно храни­т текстовый архив на своих серверах, который может передать правоохрани­тельным органам по их запросу. По словам Сачкова, тот, кто перехватит аккаунт, получит и доступ к этим старым сообщени­ям пользователя с серверов Skype. Муртазин подтверждает это — по его данным, на сервере Skype храни­тся вся его переписка с весны 2011 г. (когда Skype был продан Microsoft). Аналитик вел через Skype только личную переписку, но, если она будет опубликована, грозится засудить Microsoft.