Foros:
Por squirrel
Una vulnerabilidad recientemente hecha pública en el procedimiento de registro de nuevas cuentas de Skype permite robar cuentas ajenas simplemente conociendo el email asociado. El procedimiento, asombroso por su simplicidad, se resume en los siguientes pasos:
- Crear una nueva cuenta de Skype, indicando como email asociado el de la persona a la que queremos "robar".
- Solicitar un reseteo de contraseña en la cuenta recién creada.
- Skype nos proporcionará un token de reseteo que, junto al email conocido, nos permite cambiar la contraseña de la cuenta objetivo.
- ¡PROFIT!
Si bien Skype ya ha reaccionado deshabilitando temporalmente la recuperación de contraseñas, parece ser que ya se conocía el problema desde agosto.
Vulnerabilidades
Uno tiende a creer que hay que ser un genio para encontrar vulnerabilidades en los sistemas, pero de vez en cuando nos enteramos de que puede ser increíblemente fácil. Y uno se pregunta: ¿a qué se dedican los expertos en seguridad de esos sistemas? ¿Existen, realmente?
Lo que parece asombroso
Es que ese token no lo envien a la direccion de correo que se les da en vez de proporcionarlo en el momento
Lo envían
... pero probablemente consideraron que darlo también en el momento era el colmo de la usabilidad, para que la gente no tuviese que andar dando vueltas del Skype al correo y del correo al Skype. Probablemente no sea que no tienen expertos en seguridad, si no que pequeños cambios en una parte del sistema abren grietas en otros lugares insospechados y éste ha sido uno de los casos que terminan saliendo a la luz.
Limón para los Ojos
..............Y quieren que migren a Skype...todos los de Hotmail sin tocar a Gmail ni a Yahoo, Los enlaces de sólo asociados no aceptan enlaces derivados...vaya ud, a saber por que razones o tal vez se ha colado un Dqu que hace un downloading a los que controlan el monte Sanford.....Transfiriendo....!!!!
opinar