Skype-accounts al maanden eenvoudig te kapen

Door: andreas-udo-de-haes | 14 november 2012 12:54

Apps & Software

Door een nieuw Skype-account te koppelen aan een bestaand e-mailadres van iemand anders, is het bestaande account simpel te kapen via een wachtwoord reset. Het lek wordt al maanden misbruikt.

Het blijkt kinderlijk eenvoudig om het Skype-accounts van anderen compleet over te nemen, inclusief belkrediet en adresboek. De enige voorwaarde is dat de kwaadwillende weet of gokt welk e-mailadres aan het te kapen account is gekoppeld.

Door een nieuw account eveneens te koppelen aan datzelfde mailadres kan via de het aanvragen van een nieuw wachtwoord het account van de nietsvermoedende derde worden gekaapt.

Kaping via wachtwoordreset

Skype stuurt het unieke token om het wachtwoord te veranderen namelijk niet alleen naar het e-mailadres, dat immers niet toegankelijk is voor de kaper, maar ook naar elke actieve client die is gekoppeld aan dat e-mailadres.

Skype begaat twee enorme securityblunders. Ten eerste accepteert de chatdienst nieuwe accounts met een e-mailadres dat al is gekoppeld aan een bestaand account. Ten tweede, en veel kwalijker, stuurt het de uniek token om het wachtwoord te resetten dus naar alle openstaande applicaties die op dat moment zijn gekoppeld aan dat e-mailadres.

De truc werd al twee maanden geleden stap voor stap uitgelegd op een Russisch forum, en kwam enkele uren geleden terecht op het populaire platform Reddit. Techblog TheNextWeb kon de methode herhalen en bevestigt het securitygat.

Noodmaatregel van kracht

Toen Webwereld de kwetsbaarheid wilde testen, bleek dat Skype inmiddels aan de noodrem heeft getrokken: de pagina om een nieuw wachtwoord aan te vragen is momenteel geblokkeerd en wordt omgeleid. Microsoft en Skype bevestigen inmiddels dat het tijdelijk niet mogelijk is om het wachtwoord te resetten terwijl het lek wordt onderzocht.

Het is nog niet duidelijk welke structurele maatregelen Skype zal treffen om misbruik van dit gênante lek de kop in te drukken. Tot die tijd is het advies om je Skype-account te koppelen aan een e-mailadres dat niemand weet.

Bron: Webwereld.nl

2 Reacties op: Skype-accounts al maanden eenvoudig te kapen

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • 7 februari 2014 21:54 Anoniem
    dus je moet nu gewoon afwachten wat er mee gaat gebeuren en/of er werkelijk misbruik van wordt gemaakt
    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.
  • 7 februari 2014 21:56 Anoniem
    Is er geen manier om die misbaksels aan te pakken
    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.