Bron foto: Shutterstock
Door een nieuw Skype-account te koppelen aan een bestaand e-mailadres van iemand anders, is het bestaande account simpel te kapen via een wachtwoord reset. Het lek wordt al maanden misbruikt.
Het blijkt kinderlijk eenvoudig om het Skype-accounts van anderen compleet over te nemen, inclusief belkrediet en adresboek. De enige voorwaarde is dat de kwaadwillende weet of gokt welk e-mailadres aan het te kapen account is gekoppeld.
Door een nieuw account eveneens te koppelen aan datzelfde mailadres kan via de het aanvragen van een nieuw wachtwoord het account van de nietsvermoedende derde worden gekaapt.
Kaping via wachtwoordreset
Skype stuurt het unieke token om het wachtwoord te veranderen namelijk niet alleen naar het e-mailadres, dat immers niet toegankelijk is voor de kaper, maar ook naar elke actieve client die is gekoppeld aan dat e-mailadres.
Skype begaat twee enorme securityblunders.
Ten eerste accepteert de chatdienst nieuwe accounts met een e-mailadres dat al is gekoppeld aan een bestaand account. Ten tweede, en veel kwalijker, stuurt het de uniek token om het wachtwoord te resetten dus naar alle openstaande applicaties die op dat moment zijn gekoppeld aan dat e-mailadres.
De truc werd al twee maanden geleden stap voor stap uitgelegd op een Russisch forum, en kwam enkele uren geleden terecht op het populaire platform Reddit. Techblog TheNextWeb kon de methode herhalen en bevestigt het securitygat.
Noodmaatregel van kracht
De pagina om een nieuw wachtwoord aan te vragen is momenteel geblokkeerd en wordt omgeleid.
Het is nog niet duidelijk welke structurele maatregelen Skype zal treffen om dit gênante misbruik de kop in te drukken. Tot die tijd is het advies om je Skype-account te koppelen aan een e-mailadres dat niemand weet.
