Home > Notícias

Skype bloqueia recurso de redefinição de senha através do site

Medida foi tomada depois de reclamações de que, se soubessem do e-mail associado à conta, crackers poderiam seuquestrá-la facilmente

Lucian Constantin, IDG News Service

14/11/2012 às 13h38

Foto:

O Skype desabilitou a opção para redefinir a senha por meio de seu website por conta de relatos que diziam que o recurso poderia ser explorado e as contas sequestradas caso os atacantes simplesmente soubessem os endereços de e-mails associados a elas.

Instruções sobre como explorar essa falha de segurança foram relatadas na terça-feira em um fórum russo. A informação foi, mais tarde, publicada do Reddit e alguns blogs confirmaram que o método de sequestro da conta funcionava perfeitamente.

Ainda não está claro se a questão foi resultado de uma falha lógica no projeto ou se é um bug no cliente do Skype ou no site. De acordo com relatórios, o site do software permitia que um atacante em potencial criasse uma nova conta Skype utilizando o e-mail associado a uma conta já existente.

Desse modo, o cracker poderia logar no cliente do Skype com a nova conta, realizar uma série de atualizações na tela inicial e acionar a redefinição de senha para aquela conta, por meio do site. Essa ação deveria resultar no envio de uma mensagem de e-mail do website que contém um link único para redefinição da senha para o e-mail registrado.

No entanto, é acionado uma notificação para redefinição de senha na própria tela inicial do cliente Skype - tela essa que o cracker já está logado. Ao clicar no botão "mais informações" dessa notificação, seria fornecido ao atacante um link para a redefinição de senha e um código único, sem que necessariamente seja preciso acessar o e-mail.

Ao clicar no link de redefinição de senha, o atacante é redirecionado a uma página no site da Skype que fornece a opção de alterar a senha a partir de qualquer uma das contas associadas a esse endereço de email, incluindo a conta original do usuário legítimo.

"Recebemos relatos sobre uma vulnerabilidade de segurança", disse o representante do Skype Sravanthi Agrawal, nesta quarta-feira, por e-mail. "Como medida de precaução, desativamos temporariamente a redefinição de senha, enquanto investigamos o problema mais a fundo. Pedimos desculpas pelo inconveniente, mas a experiência do usuário e sua segurança é a nossa prioridade."

Se ter várias contas Skype associadas ao mesmo e-mail é uma funcionalidade intencional, então uma solução simples seria enviar um link de ativação da nova conta para o endereço de e-mail fornecido anteriormente. Este é o procedimento padrão para outros serviços e teria bloqueado o ataque desde o início, já que o cracker não seria capaz de ativar a nova conta e realizar as outras etapas do processo.

Uma vez que esta vulnerabilidade se tornou pública, vale a pena os usuários ​alterarem suas senhas apenas por precaução.

O site do Skype permite que usuários logados associem um outro endereço de e-mail às contas e excluam o antigo. Este recurso pode ser usado para alterar o endereço de e-mail por um que não seja conhecido por ninguém e, portanto, reduzir as chances da conta ser atacada por meio de erros de redefinição de senha no futuro.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail