Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/11/2012
Skype soluciona una greu vulnerabilitat
Després d’haver suspés temporalment la funció de restablir contrasenya, Skype ha trobat una solució definitiva al greu problema de seguretat i privacitat que va afectar els seus usuaris.
Des de fa temps, els intrusos els ha sigut possible fer-se amb el control d'un compte de Skype amb un senzill truc. Segons s’ha comprovat, es va tractar d’un error de disseny propi de principiants, sumat a un greu descuit amb la privacitat dels usuaris. En efecte, la vulnerabilitat no sols permetia ingressar al compte d’usuari, sinó també tindre accés a tot el seu historial de xat i missatgeria. A més, l’usuari legítim quedava bloquejat del seu compte, al desconéixer la nova contrasenya.
La informació va ser difosa a l’agost per un fòrum rus de seguretat i comunicada a Skype, sense que l’empresa haja reaccionat. Açò implica que els usuaris hi van estar exposats durant més de dos mesos.
El procediment implicava únicament crear un nou compte de Skype proporcionant la direcció de correu electrònic associada al compte que es desitjava intervindre. Posteriorment, se sol·licitava restablir la contrasenya, que generava un correu enviat al compte de l’intrús. Açò es deu al fet que Skype permet crear diversos comptes amb la mateixa adreça de correu electrònic. Però al restablir la contrasenya, l’enllaç generat per a restablir la clau del primer compte era enviat al compte més recent. Segons Skype, el servici té actualment 250 milions d’usuaris. Recentment, Microsoft va anunciar que el seu servici Live Messenger serà descontinuat i fusionat amb Skype.
Skype assegura que només un nombre reduït de comptes es va veure afectat per la vulnerabilitat. Estos comptes estan tancats, i els seus usuaris legítims poden accedir-hi emprant un procediment de seguretat establit per Skype. En concret, es demana a l’usuari proporcionar la seua identificació en Skype, adreça de correu electrònic, país, eventuals mètodes de pagament associats al compte, i detalls sobre tres dels seus contactes en Skype.