comss
Система интернет-телефонии Skype всего за несколько часов отрапортовала об устранении серьезного бага, использование которого приводило к возможности сброса пользовательского пароля и краже данных легитимного пользователя.
Раскрытая сегодня Skype уязвимость позволяет потенциальному злоумышленнику создать Skype-аккаунт с тем же адресом email, что и у жертвы и затем из той же сессии запросить сброс пароля, уводя, таким образом, аккаунт от настоящего пользователя.
После того, как о данной уязвимости стало известно, изначально Skype просто заблокировала страницу сброса пароля, однако позже компания реализовала постоянное исправление для уязвимости.
Также в Skype сообщили, что на практике эта уязвимость использовала алгоритмическую слабость реализации ряда возможностей для пользователей, обладающих несколькими Skype-аккаунтами и работающими с ними через указанный единый почтовый ящик. В компании не сообщают, сколько именно человек могли пострадать от эксплуатации уязвимости, но заявляют, что багом "было затронуто небольшое количество пользователей".
Сейчас Skype предлагает возможность сброса пароля только через страницу, которая доступна в личном профиле уже авторизованного пользователя.
Ссылки по теме