Skype-accounts al maanden eenvoudig te kapen

Het blijkt kinderlijk eenvoudig om het Skype-accounts van anderen compleet over te nemen, inclusief belkrediet en adresboek. De enige voorwaarde is dat de kwaadwillende weet of gokt welk e-mailadres aan het te kapen account is gekoppeld.

Door een nieuw account eveneens te koppelen aan datzelfde mailadres kan via de het aanvragen van een nieuw wachtwoord het account van de nietsvermoedende derde worden gekaapt.

Kaping via wachtwoordreset

Skype stuurt het unieke token om het wachtwoord te veranderen namelijk niet alleen naar het e-mailadres, dat immers niet toegankelijk is voor de kaper, maar ook naar elke actieve client die is gekoppeld aan dat e-mailadres.

Skype begaat twee enorme securityblunders. Ten eerste accepteert de chatdienst nieuwe accounts met een e-mailadres dat al is gekoppeld aan een bestaand account. Ten tweede, en veel kwalijker, stuurt het de uniek token om het wachtwoord te resetten dus naar alle openstaande applicaties die op dat moment zijn gekoppeld aan dat e-mailadres.

De truc werd al twee maanden geleden stap voor stap uitgelegd op een Russisch forum, en kwam enkele uren geleden terecht op het populaire platform Reddit. Techblog TheNextWeb kon de methode herhalen en bevestigt het securitygat.

Noodmaatregel van kracht

Toen Webwereld de kwetsbaarheid wilde testen, bleek dat Skype inmiddels aan de noodrem heeft getrokken: de pagina om een nieuw wachtwoord aan te vragen is momenteel geblokkeerd en wordt omgeleid. Microsoft en Skype bevestigen inmiddels dat het tijdelijk niet mogelijk is om het wachtwoord te resetten terwijl het lek wordt onderzocht.

Het is nog niet duidelijk welke structurele maatregelen Skype zal treffen om misbruik van dit gênante lek de kop in te drukken. Tot die tijd is het advies om je Skype-account te koppelen aan een e-mailadres dat niemand weet.

Bron: Webwereld.nl