1632313

Schicherheitslücke bei der Passwort-Wiederhestellung in Skype entdeckt

14.11.2012 | 16:12 Uhr |

Ein logischer Fehler ist den Skype-Entwicklern unterlaufen. War die E-Mail-Adresse für ein Skype-Konto bekannt, konnte man dieses Konto ohne Probleme knacken und Passwort ändern.

Die erste Meldung zu der Sicherheitslücke in Skype kam gestern Abend auf einem Technik-Blog . Doch der Trick selber war einzelnen Personen seit Monaten bekannt. Der Autor des Beitrags behauptet , bereits vor drei Monaten den Skype-Support kontaktiert zu haben, bis jetzt habe man sich bei ihm jedoch nicht gemeldet.

Die Skype-Entwickler hatten keinen technischen, sondern einen einfachen logischen Fehler begangen: Potentielle Datendiebe konnten ein neues Konto mit einer bereits bekannten Adresse registrieren und in den Einstellungen das Passwort des alten Accounts zurücksetzen. Der Bestätigung-Code für die Rücksetzung kam nicht nur per E-Mail sondern auch direkt per Skype-Klient auf dem Desktop. Hatte sich ein Übeltäter unter dem neuen Namen angemeldet, konnte auch er diesen Code erhalten. In den Konto-Einstellungen hatte man mit dem Code Zugang zu allen Konten und Passwörtern, die mit dieser E-Mail-Adresse jemals verknüpft waren.

Zu dem Zeitpunkt der Beitragsveröffentlichung war die Sicherheitslücke noch nicht geschlossen, und so haben einige bekannte Blogger berichtet, dass ihre Skype-Konten geknackt wurden. Wir haben heute morgen die Pressestelle von Skype kontaktiert. Bis jetzt hat sich niemand gemeldet. Doch auf dem Sicherheitsblog des VoIP-Dienstes ist eine kurze Meldung zur Bekanntgabe der Lücke erschienen. Momentan ist die Lücke bei der Anmeldung beseitigt.

Wie Sie prüfen können, ob ihr Skype-Konto betroffen ist: Haben Sie in der letzten Zeit unbegründet eine Nachricht von Skype bekommen mit dem Betreff "Kennwort-Token", hat jemand versucht, ihr Konto zu knacken. Das alte Passwort zurücksetzen und ein neues eintragen können Sie unter diesem Link .

0 Kommentare zu diesem Artikel
1632313