Durch einen Fehler konnte man offenbar über mehrere Monate hinweg beliebige Skype-Accounts übernehmen – dazu musst man lediglich die E-Mail-Adresse kennen, mit der das fremde Konto erstmalig eingerichtet wurde. Heise Security konnte das Problem nachvollziehen.
Bis vor kurzem konnte man sich mit einer fremden Mail-Adresse einen neuen Skype-Account anlegen – und zwar auch dann, wenn bereits ein Account mit dieser Adresse vorhanden war. Das war erst mal noch harmlos, da man über den zweiten Account nicht auf die Daten des ersten Accounts zugreifen konnte und die Skype-Zugänge unabhängig voneinander nutzbar waren.
Problematisch wurde es, wenn der Nutzer, der den Account mit der fremden Adresse angelegt hatte, die Funktion "Passwort zurücksetzen" auf der Skype-Webseite benutzte: Dann hat Skype nämlich den Link zum Zurücksetzen des Kennworts für den ersten Account als Skype-Nachricht an den zweiten Account geschickt. Nach dem Zurücksetzen hatte man die volle Kontrolle über den ersten Account, ganz ohne Zutun des eigentlichen Account-Besitzers.
Der Russe Dmitry Chestnykh hat den Skype-Betreiber Microsoft nach eigenen Angaben bereits im August über das Sicherheitsproblem informiert, wie ein Chat-Protokoll belegen soll. Gehandelt hat das Unternehmen jedoch erst, nachdem Schritt-für-Schritt-Anleitungen in russischen Foren aufgetaucht sind. Inzwischen hat Microsoft die Zurücksetzen-Funktion auf der Skype-Webseite abgeschaltet.
Derzeit werde die Angelegenheit untersucht, heißt es dazu nunmehr von Microsoft. Der Konzern hatte Skype für rund 8,5 Milliarden Dollar gekauft und macht den Dienst gerade zur zentralen Kommunikationsplattform in der Windows-Welt. Zuletzt hatte Microsoft angekündigt, der hauseigene Messenger werde eingestellt; dessen Nutzer würden zu Skype überführt. (Uli Ries) / (rei)
0 Kommentare:
Kommentar veröffentlichen