Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Skype fiók ellopása 4 pofonegyszerű lépésben

2012.11.14. 11:54 | buherator | 10 komment

A Microsoft letiltotta a Skype jelszóhelyreállító funkcióját, miután az alábbi megoldás napvilágot látott:

  1. Regisztrálj egy új Skype hozzáférést az áldozat e-mail címével. Kapsz majd egy figyelmeztetést, de a folyamat mehet tovább gond nélkül.
  2. Lépj be a Skype-ba a frisseb létrehozott hozzáféréssel
  3. Látogasd meg a https://login.skype.com/account/password-reset-request linket, és kérj jelszói helyreállítást az áldozat e-mail címével 
  4. A Skype kliensedben megjelenik a jelszócseréhez szükséges token. Üsd ki az áldozat jelszavát és jelentkezz be a nevében

Egy vállveregetést megérdemelne aki ezt így kitalálta...

Friss: A hibát állítólag már augusztusban jelentették, a javításhoz az kellett, hogy egy orosz fórum nyilvánosságra hozza az exploitot.

Friss2: Tegnap javították a problémát elvileg már a jelszó-helyreállító funkció is elérhető

Címkék: skype facepalm

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

zséroskenyér 2012.11.14. 13:25:24

az ilyen "mar x honapja jelentve lett, de a gyarto szart ra, ugyhogy tessek itt a sebezhetöseg" -> ra fel napra panikszerüen javitva van - sebezhetösegek szamomra teljesen erthetetlenek. rengeteg ilyen van. azt hiszik, nem fog kiderülni?

buherator · http://buhera.blog.hu 2012.11.14. 13:28:32

@zséroskenyér: Azt. Ez user szinten is jellemző egyébként: Kritikus hiba, de nincs elérhető exploit (ld. MS12-20) => nem olyan sürgős a patchelés.

conscience 2012.11.14. 14:22:48

Már vártam, mikor teszed ki a cikket :)
Korán reggel egy erről szóló e-mail fogadott az irodában.
A dolog szépségéhez az is hozzátartozik, hogy MS-ék úgy tiltották le a password reset szolgáltatást, hogy erről a felhasználó semmilyen értresítést nem kapott, csupán "a linkre kattintva nem történt semmi".
Azért kíváncsi lennék azoknak az arcára, akiknek épp most sikerült elfelejteni a jelszavukat...

elfelejtette 2012.11.14. 16:38:59

"Regisztrálj egy új Skype hozzáférést az áldozat e-mail címével. Kapsz majd egy figyelmeztetést, de a folyamat mehet tovább gond nélkül."

Már itt érthetetlen, miért így van ez kitalálva.

neo_21670 2012.11.14. 17:42:03

Jól értem, hogy a Skype accountok emailre nézve nem voltak unique-ok? Tetszőleges számú account létezhetett ugyanazzal az emaillel regisztrálva?

buherator · http://buhera.blog.hu 2012.11.14. 18:14:48

@neo_21670: Jól látod, de ez csak a puzzle egyik darabkája, az egész rendszer egy méretes WTF.

neo_21670 2012.11.14. 18:39:39

Ilyenkor mindig azon morfondirozok, hogy miert van ekkora katyvasz az egyebkent viszonylag meglepoen jol hasznalhato Skype mogott. (Offline uzenetek, tobb helyrol bejelentkezes support, csoportos beszelgetesek, stb.)

törzsmókus 2012.11.14. 22:39:41

én meg azon morfondírozok, miért van ekkora momentuma még mindig ennek a fosnak. mióta normális minőségben működik a google videochatje (mostanában hangout néven fut), bottal sem piszkálom a szkájpot.

eax_ 2012.11.15. 18:23:24

@zséroskenyér: Szerintem a valosag valahogy ugy nez ki, hogy a fejlesztocsapatnak van a csoben 9273492 db bejelentes serulekenysegekrol, amelyek vagy igazak, vagy nem, vagy kihasznalhatoak, vagy nem, vagy sulyosak, vagy nem - es hogy ezeket eldontsd, az altalaban a javitassal magaval osszemerheto munkat jelent. Ehhez jonnek meg a "lehetoleg tegnapra kellene"-tipusu business keresek.
Nyilvan a prioritast a business kapja, meg idonkent javitanak a 9273492 db bejelentes alapjan nehanyat, amit epp lehet.
Majd egyszer csak jon valaki, es feldob egy exploitot a 9273492 db potencialis serulekenysegbol 1-re.

zséroskenyér 2012.11.16. 16:14:22

@eax_: valoszinüleg igy van - de akarhogy is, abban megegyezhetünk, hogy valami nem kerek a $projekt menedzselesevel.