Eine Sicherheitslücke des Instant-Messengers «Skype» machte es möglich die Kontrolle über fremde Skype-Accounts zu übernehmen, ohne irgendwelche Fähigkeiten als Programmierer zu besitzen. Was man dafür benötigte war lediglich die Email-Adresse des bevorstehenden Opfers.
Das Chat-Programm Skype leidete nach Angaben von Microsoft an einer angeblichen Sicherheitslücke, welche durch die Passwort-Zurücksetzt-Option entstanden ist. Dies ist jedenfalls bei einigen erst neuerdings getätigten Tests herausgestellt worden. Aus diesem Grund wurde nun diese Funktion vorübergehen entfernt, um so das Übernehmen fremder Accounts über diesen Weg zu verhindern. Diese Funktion ist zurückgekehrt, sobald es eine Lösung seitens Microsofts für das Problem gab. Angeblich soll Microsoft bereits über diese Sicherheitslücke von Skype seit rund 2-3 Monaten Bescheid wissen, denn bereits vor 2 Monaten wurde diese Methode auf einem russischen Forum veröffentlicht. Die Reaktion seitens Microsofts kam jedoch erst kürzlich.
Inzwischen ist die Option des zurücksetzen des eigenen Passworts wieder verfügbar, nachdem Microsoft das Problem durch eine Änderung an dem System überarbeitet hat. Auch spricht Microsoft von lediglich einer "small number", von Usern, die betroffen waren.
Wie war es nun aber genau möglich einen fremden Account zu übernehmen?
Wie es die Tatsache beweist, war es möglich mehrere Skype-Accounts auf die selbe Email-Adresse zu registrieren, was die Hacker dann auch taten. Eine Bestätigung durch klicken auf die Aktivierungsemail war nicht nötig. Nun musste man sich mit dem gerade angelegtem Account einloggen und eine alternativ Email-Adresse angeben. Sollte man nun ein Passwort-Reset einleiten, so wurden E-mails sowohl an die alte, als auch die neue Email-Adresse gesendet und zwar bezüglich aller Konten, welche auf diese E-mail registriert sind. Nun konnte der Hacker Kontrolle über alle Skype-Konten übernehmen.
Hat das Opfer also nicht zufällig die E-mail zum Zurücksetzen des Passworts vor dem Hacker gelesen und schnell genug reagiert, hatte man keine Chance. Das heißt es hätte jeden treffen können. Bekannt sein musste nur die Email-Adresse, auf welchen euer Skype-Konto registriert ist.
Quelle: Security Hole Allows Anyone to Hijack Your Skype Account