Account-Klau bei Skype leichtgemacht
Wer die Mail-Adresse eines anderen Skype-Nutzers kannte, konnte bis vor kurzem auch dessen Account übernehmen. Der Fehler war offenbar über Monate hinweg bekannt, reagiert hat Skype-Betreiber Microsoft jedoch erst heute.
- Uli Ries
Durch einen Fehler konnte man offenbar über mehrere Monate hinweg beliebige Skype-Accounts übernehmen – dazu musst man lediglich die E-Mail-Adresse kennen, mit der das fremde Konto erstmalig eingerichtet wurde. Heise Security konnte das Problem nachvollziehen.
Bis vor kurzem konnte man sich mit einer fremden Mail-Adresse einen neuen Skype-Account anlegen – und zwar auch dann, wenn bereits ein Account mit dieser Adresse vorhanden war. Das war erst mal noch harmlos, da man über den zweiten Account nicht auf die Daten des ersten Accounts zugreifen konnte und die Skype-Zugänge unabhängig voneinander nutzbar waren.
Problematisch wurde es, wenn der Nutzer, der den Account mit der fremden Adresse angelegt hatte, die Funktion "Passwort zurücksetzen" auf der Skype-Webseite benutzte: Dann hat Skype nämlich den Link zum Zurücksetzen des Kennworts für den ersten Account als Skype-Nachricht an den zweiten Account geschickt. Nach dem Zurücksetzen hatte man die volle Kontrolle über den ersten Account, ganz ohne Zutun des eigentlichen Account-Besitzers.
Der Russe Dmitry Chestnykh hat den Skype-Betreiber Microsoft nach eigenen Angaben bereits im August über das Sicherheitsproblem informiert, wie ein Chat-Protokoll belegen soll. Gehandelt hat das Unternehmen jedoch erst, nachdem Schritt-für-Schritt-Anleitungen in russischen Foren aufgetaucht sind. Inzwischen hat Microsoft die Zurücksetzen-Funktion auf der Skype-Webseite abgeschaltet.
Derzeit werde die Angelegenheit untersucht, heißt es dazu nunmehr von Microsoft. Der Konzern hatte Skype für rund 8,5 Milliarden Dollar gekauft und macht den Dienst gerade zur zentralen Kommunikationsplattform in der Windows-Welt. Zuletzt hatte Microsoft angekündigt, der hauseigene Messenger werde eingestellt; dessen Nutzer würden zu Skype überführt.
[Update 15.11.2012 7:50]:
Skype erklärte mittlerweile, man habe Änderungen am Reset-Prozess für Passwörter vorgenommen, sodass dieser nun richtig funktioniere und kein Passwort-Reset für andere Accounts möglich sei. Man informiere auch einzelne User, die möglicherweise von dem Problem betroffen gewesen seien, direkt. Die Reset-Funktion für die Passwörter sei nun wieder freigeschaltet. (rei)
