Skype - Account-Klau war einfach per E-Mail möglich

Microsoft hat gestern die Möglichkeit, Passwörter bei Skype zurückzusetzen, vorübergehend deaktiviert, um eine große Sicherheitslücke zu schließen.

von Georg Wieselsberger,
15.11.2012 09:56 Uhr

Eine gestern bekanntgewordene Sicherheitslücke beim Voicer-over-IP-Anbieter Skype, der seit einiger Zeit zu Microsoft gehört, hat dazu geführt, dass die Möglichkeit, das eigene Passwort zurückzusetzen, einige Stunden lang deaktiviert wurde.

Anscheinend war es seit mehreren Monaten möglich, sich bei Skype ein Konto anzulegen und dabei eine E-Mail-Adresse zu verwenden, die eigentlich schon zu einem anderen Skype-Nutzer gehört. Durch die Angabe einer weiteren E-Mail-Adresse, die diesmal der Angreifer kontrolliert, mit anschließendem Passwort-Reset wurde der dafür notwendige Code von Skype an beide E-Mail-Adressen geschickt.

Sofern des Besitzer des angegriffenen Accounts diese E-Mail nicht zufällig vor dem Angreifer entdeckte, konnte dieser damit das Konto übernehmen. Inzwischen hat Skype den Vorgang zum Zurücksetzen des Passworts überarbeitet und sich in einem Blogbeitrag bei den Nutzern entschuldigt.

Skype für Windows 8 - Screenshots der offiziellen Version ansehen


Kommentare(15)

Nur angemeldete Benutzer können kommentieren und bewerten.