Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 22, views: 24.181 •
Submitter: Tormbo

Een ontwerpfout in de Skype-website die zeker twee maanden heeft bestaan, maakte het zeer eenvoudig om Skype-accounts te kapen. Daarvoor hoeft een aanvaller enkel het e-mailadres van een potentieel slachtoffer te weten. Inmiddels lijkt het lek te zijn opgelost.

SkypeHet probleem, dat twee maanden geleden uit de doeken werd gedaan op een Russisch forum, maar pas dinsdagmorgen Reddit en een aantal Engelstalige weblogs bereikte, is geen technische kwetsbaarheid in Skype, maar eerder een ontwerpfout. Inmiddels lijkt het probleem min of meer te zijn verholpen.

Om een account te kapen, was een aantal stappen noodzakelijk. Allereerst moest een nieuw Skype-account worden aangemaakt op het e-mailadres van het slachtoffer. Vreemd genoeg was het activeren van het account middels een e-mailbevestiging niet vereist. Daarna moest via de desktopapplicatie worden ingelogd op het nieuw aangemaakte Skype-account.

Door vervolgens de 'wachtwoord vergeten'-functie te gebruiken, waarbij het e-mailadres van het slachtoffer moest worden ingevuld, kon een aanvaller een nieuw wachtwoord instellen op het oude, originele account van het slachtoffer. Dat kwam doordat de password reset-token ook werd verzonden naar de applicatie waarin op het nieuw geregistreerde Skype-account was ingelogd. Het nieuw aangemaakte account was daarmee een hulpmiddel om het wachtwoord van het originele account opnieuw te kunnen instellen.

Skype heeft het probleem tijdelijk verholpen door de wachtwoord vergeten-functionaliteit uit te schakelen, maar uit het feit dat het beveiligingsprobleem twee maanden geleden al op het Russische forum werd besproken, kan worden afgeleid dat Skype-accounts minimaal twee maanden kwetsbaar zijn geweest. Skype, dat vorig jaar door Microsoft is overgenomen, heeft tegenover The Verge bevestigd uit voorzorg de wachtwoord vergeten-functionaliteit te hebben uitgeschakeld.

Reacties (22)

Dit is een joekel van een beginnersfout bij skype.

Je vraagt je altijd weer af welke programmeurs die gasten inhuren. Moet altijd op een koopje zeker. Dat komt ook overeen met de waarneming. Gasten die goed zijn in software wiskundig correct bewijzen, die worden in steeds mindere mate ingehuurd door dit soort bedrijven. Vooral in Nederland zitten die massaal op de bank.

Goed salueren, vriendelijk gllimlachen en vooral niet slimmer lijken dan de manager, dat zijn de belangrijkste aannamecriteria in de IT, vooral in Nederland.

Het zal niet de laatste keer zijn dat we dit soort berichten krijgen te lezen.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Assassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneAsus

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013