Een ernstig beveiligingslek in Skype maakt het mogelijk om accounts van anderen zonder veel moeite over te nemen. Aanvallers hoeven alleen het e-mailadres van hun slachtoffer te weten. Om de aanval uit te voeren volstaat het aanmaken van een nieuw Skype-account met het e-mailadres van het slachtoffer. Vervolgens verschijnt er een waarschuwing dat het e-mailadres al bestaat, maar het account kan nog steeds worden aangemaakt.
Hierna logt de aanvaller met het nieuw aangemaakte account in op de Skype-client. De volgende stap bestaat uit het resetten van het wachtwoord, waarna er een reset-token in de Skype-client verschijnt. De aanvaller hoeft alleen maar op de link te klikken om het wachtwoord te resetten en kan zo het account van het slachtoffer overnemen.
Geschiedenis
Volgens berichten op Reddit zou de aanvaller ook de gespreksgeschiedenis kunnen downloaden als het slachtoffer op het moment van de aanval online is. Inmiddels is er ook een handleiding online verschenen die de aanval uitlegt.
Als oplossing kunnen Skype-gebruikers een e-mailadres toevoegen dat een aanvaller niet zal raden om hierna het oorspronkelijke e-mailadres te verwijderen.
Update 12:19
Skype heeft inmiddels de pagina om het wachtwoord te resetten uitgeschakeld.
Update 2 - 13:15
De kwetsbaarheid is inmiddels door Skype bevestigd.
Deze posting is gelocked. Reageren is niet meer mogelijk.