13 ноября 2012 в 23:49

Уязвимость в skype, позволяющая угнать любой аккаунт

Информационная безопасность*, Skype*


Месяца три назад я писал об этой критической уязвимости в skype support, но она до сих пор не исправлена(Уже исправлена).

Сразу скажу, что саму уязвимость я целиком не знаю(уже известна), но в последнее время начались массовые угоны аккаунтов.

Для реализации атаки необходимо лишь знать логин скайпа и e-mail жертвы.

Proof-of-Concept я не знаю. Но делается по достаточно незамысловатой схеме:
-Регистрируется новый скайп на e-mail жертвы.
-Запрашивается восстановление пароля скайпа на этот e-mail.
-Меняется e-mail на зарегистрированном скайпе.
-Дальнейшие действия мне не известны, то ли маркер пароля опять восстанавливается на уже подконтрольную злоумышленнику почту, то ли еще что-то, в итоге злоумышленник меняет пароль от вашего основного скайпа через маркер пароля который пришел на его почту, маркер то ли остается такой же, то ли еще какая-то хитрость тут присутствует.

Proof-of-Concept ( копирайт forum.xeksec.com/f13/t68922/#post98725 )
1. Регистрируем новый скайп акк на мыло жертвы (там будет написано типа на это мыло уже кто-то зареген). Не обращаем внимания — заполняем дальше.
2. Логинимся в скайп клиент
3. Удаляем все куки, идём на login.skype.com/account/password-reset-request вбиваем мыло жертвы.
4. В скайп приходит уведомление
image


6. Переходим по ссылке и видим мыло жертвы и списки логинов зарегистрированных на это мыло. Свой логин тоже видим.
7. Выбираем логин жертвы и меняем пароль
8. PROFIT

На почте жертвы письма появляются примерно в такой последовательности(партнеры и знакомые прислали скриншоты своих почтовых ящиков после взлома):



И еще другие примеры:
http://screenshot.ru/html/11.14.12_01:53:00_d0de803b.html
http://screenshot.ru/html/11.14.12_01:52:44_ecfe3230.html
http://screenshot.ru/html/11.13.12_23:00:43_210be0fe.html
http://screenshot.ru/html/11.13.12_23:06:50_48247500.html
http://screenshot.ru/html/11.13.12_23:10:36_64dafe3f.html

Если Вам приходили подобные письма — повод насторожиться!

Единственный способ защититься на данный момент это зарегистрировать новый никому не известный e-mail адрес и сменить через сайт скайпа основной e-mail аккаунта на новый.
Внимание! Сменить через саму программу skype основной e-mail нельзя! Только через сайт!

За последнюю неделю 10 человек только из моего контакт листа взломали с помощью этой уязвимости.
Я хочу предупредить всех как можно быстрее обезопасить себя, так как пока что Microsoft не принимает никаких действий, позаботьтесь о своей безопасности сами.

UPD
Появился способ(PoC), как использовать уязвимость:
http://forum.xeksec.com/f13/t68922/#post98725

UPD2
Официальный комментарий от представителя Skype:
Мы получили сообщения об уязвимости в системе безопасности Skype. В целях безопасности наших пользователей мы временно отключили функцию сброса пароля, также мы продолжаем дальше исследовать этот вопрос. Приносим свои извинения за неудобство, безопасность наших пользователей является нашей первоочередной задачей.
+292
333656
293
ReaM 34,5

комментарии (397)

+15
ReaM, #
Пару часов назад я опубликовал это сообщение на xeksec, но так как начали интересоваться на хабре, то сделал кросспост и сюда.
+1
Nickel3000, #
Попробовал зарегистрировать новый скайп на свой мейл:
Вы уже зарегистрированы в Skype.
Мы можем выслать вам по электронной почте ваш логин Skype, и после этого вы сможете выбрать новый пароль. Если же вы хотите зарегистрировать новый логин Skype, продолжайте заполнение этой формы.
Как тогда работает первый пункт:
Регистрируется новый скайп на e-mail жертвы.
+3
spiritedflow, #
> Если же вы хотите зарегистрировать новый логин Skype, продолжайте заполнение этой формы.

Это разве не ответ?
0
Nickel3000, #
Нет, потому что я все заполнил, все поля отображаются черным:

Скриншот
image

И все равно вижу такую картину (e-mail удалил):

Скриншот
image

0
denisemenov, #
У меня только с 5 попытки получилось нажать «ок», чтобы все сработало…
+1
harm, #
На мой старый почтовый адрес регестрировали Skype ID все косу не лень, я так и не понял почему. Может у вас аккаунт связан с Live ID?
0
Nickel3000, #
Да с учеткой майкрософт пробовал заходить, возможно, вы правы.
+1
Goodkat, #
На мою почту зарегистрировано несколько незнакомых мне аккаунтов в Skype — раньше думал, что это однофамильцы регистрировали.
0
harm, #
У меня почтовый адрес состоит из фамилия@домен и я тоже так думал, только в профилях у этих пользователей фамилии отличаются от моей.
–32
chico, #
чёрный пиар такой чёрный
0
Flammar, #
На 8 дней минимум опоздали…
0
DonkeyHot, #
А по ссылкам в письмах ходили? Пароли не вбивали случайно там, может это снифинг был?
Если ходили, то надо смотреть RFC заголовки писем.
0
denonlink, #
По схеме получается, что злоумышленник должен не просто знать e-mail, но и иметь к нему доступ? Или я что-то не понял?
+5
ReaM, #
Просто знать e-mail адрес на который зарегистрирован скайп, доступ к нему конечно же не нужен:)
+3
denonlink, #
Чтобы получить доступ к аккаунту нужно или пароль знать, или мыло. Ну, он воспользовался формой и на мое мыло выслали форму восстановления пароля, и что дальше? Мыло мое, доступа к мылу у злоумышленника нет, он там что, бубном взмахивает и заходит астрально по ссылке?
+11
coolspot, #
Токен для восстановления пароля присылают не только на почту хозяина аккаунта, но и в скайп-клиент злоумышленника.
Всё работает, проверено.
Минусующие верхние комментарии, спуститесь вниз — там уже куча народу проверило и отполировало технику.
0
denonlink, #
С каких пор токены присылают прямо в скайп? о_0
+1
Flammar, #
Для удобства. Наверное, нововведение Микрософта.
0
coolspot, #
Вот здесь с иллюстрациями.
+6
Demir0, #
С тех пор как скайп купила Microsoft?
Блин, мне аж самому противно от такого шаблона, но как есть :)
0
mihaild, #
Достаточно знать. Меняем мы мыло уже на вновь зарегестрирванном скайпе.
–6
zhovner, #
И чо дальше?
0
chico, #
наверно это
support.skype.com/ru/faq/FA109/a-ne-pomnu-parol
–2
zhovner, #
И чо дальше?
0
chico, #
я понятия не имею. и вообще все как-то сомнительно…

может быть намекают на эту часть?

Я больше не пользуюсь адресом электронной почты, указанным мной при создании учетной записи Skype, при этом я пользовался (пользовалась) хотя бы одним платным продуктом Skype
Если вы в прошлом оплачивали продукты Skype, однако больше не используете адрес электронной почты, указанный вами при регистрации, обратитесь в наш отдел обслуживания клиентов. Сообщите специалистам отдела свой новый адрес электронной почты, чтобы они могли зарегистрировать его в Skype. После того как вы получите уведомление о том, что ваш зарегистрированный адрес электронной почты изменен, выполняйте инструкции выше, чтобы восстановить свой пароль.

других способов без доступа к почте владельца аккаунта я там не вижу
+17
Antelle, #
Судя по описанию, дальше по классической схеме:
3. ????? (дальнейшие действия мне не известны)
4. PROFIT!
0
mihaild, #
А дальше, насколько я понял, какой-то магией мы получаем восстановление пароля от другого акка на наше мыло. Или еще что-то, не очень понял.
+2
coolspot, #
Не на мыло, а в программу-клиент.
–36
amarao, #
Майкрософт? Что-то я не помню, чтобы такие дырки были у них раньше.
+19
alaudo, #
То есть Вы тестировали эту уязвимость раньше и раньше её не было?
–32
amarao, #
Нет, я и скайпом-то не пользуюсь. Я к тому, что всякая штука в скайпе посыпалась почти сразу же после того, как ms поубивала p2p и утащила всё на свои сервера.
+16
alaudo, #
Мне не совсем понятно, как уязвимость в восстановлении пароля пользователя на е-мейл может быть связана с переходом от peer-to-peer на серверный backend. Вы не объясните?
+2
Al_Azif, #
Ну например криворукостью программеров, «забывших» стребовать конфирмейшн при миграции?
+2
alaudo, #
Миграции чего??
Account management и раньше не был peer-to-peer, как и восстановление пароля — все работало через веб.
0
Al_Azif, #
Миграции бизнеса под MS, например. Или вы думаете MS просто отвалила 8 ярдов и сказала «пусть всё будет по-старому»?
0
alaudo, #
Понятно, что инфраструктура Skype будет интегрироваться Майкрософтом в свои инфраструктуры. Так, например, доставка сообщений уже не является p2p процессом, а для этого используется backend на тех relay-серверах, что раньше использовались для windows messenger. Благодаря этому, например, стало можно получать сообщения, посланные офф-лайн и читать архив сообщений.

Но если взять именно ту часть системы, которая была исходно в Skype для работы с данными пользователя, то она и раньше была не p2p, а значит необходимости в миграции здесь не было изначально. Да, можно предполагать, что эта часть функционала могла быть переписана в плане улучшения и это привнесло уязвимость — но это просто предположение, ничем не подкрепленное, как и предположение о «криворукости программистов».

Используя теорию вероятности, вероятность того, что оба эти предположения верны является произведением вероятности обоих предположений, что делает данный сценарий очень маловероятным в моих глазах и заставляет рассматривать Ваше предположение как попытку троллинга.
0
Al_Azif, #
Учитывая что вы используя теорию вероятности, основываясь исключительно на своих фантазиях, умножьте своё предположение где-то на 0.0000000001.

А вот первые просьбы «занять 500-600 рублей на яндексбабки, бро», уже пошли.
0
rdin, #
Чем пользуетесь?
+9
amarao, #
xmpp
+2
n1tra, #
Да ладно, а как же Hotmail?
+1
amarao, #
У них — это у скайпа. И до покупки MS. Про «безопасность» MS мы все помним со времён autorun.inf и ActiveX.
–3
alaudo, #
Хм, а в чем тут проблема Майкрософт?
По моему обе технологии исходно были «небезопасными» и каждому, кто их использовал, это было понятно.
Но ActiveX был очень удобным в ту эпоху, когда веб-приложения использовали Ява-Скрипт только для запуска ActiveX…
0
n1tra, #
Неправильно вас понял, подумал что у них — это у MS.
Про — скайп сложно сказать, учитывая суровую анальную оккупацию кода и протокола, шифрование всего и вся и жуковатость авторов скайпа; полне может оказаться что в программе есть «жучки» и в один прекрасный день все компьютеры превратятся в зомби, ну или в тыкву, как захотят какие-нибудь плохие ребята.
+2
int03e, #
Автор, откуда сведения о последовательности действий? Как-то туманно все.
+2
ReaM, #
Собственно у меня у самого скайп уводили таким способом, плюс у многих моих партнеров и клиентов тоже происходило подобное.

Вот еще несколько скриншотов с почтовых ящиков жертв(мной бага в первый раз была замечена летом):
http://screenshot.ru/html/11.13.12_23:00:43_210be0fe.html
http://screenshot.ru/html/11.13.12_23:06:50_48247500.html
http://screenshot.ru/html/11.13.12_23:10:36_64dafe3f.html

Естественно скриншотов с почты злоумышленника нет, о том что происходит дальше — можно только догадываться.
–1
zhovner, #
у меня у самого скайп уводили таким способом

Как удалось вернуть свой аккаунт?
+1
ReaM, #
Это был скайп для мобильного(отдельный аккаунт), мыло там не стали менять, видимо ничего интересного не нашли, кроме переписки с моими друзьями. Поэтому без проблем восстановил пароль от него, после сменил e-mail.
+4
zhovner, #
Мне кажется в конце вашего поста не хватает текста «РАЗОШЛИ ЭТО ВСЕМ СВОИМ ЗНАКОМЫМ»
–3
Elkan, #
«ИНАЧЕ ТВОЙ СКАЙП УМРЕТ В ТЕЧЕНИЕ 10 ДНЕЙ». Да, что-то слишком мутная схема, да и такую уязвимость на этапе разработки не могли не заметить.
0
Creat1ve, #
А строчкой выше «Для того чтобы защитить свой скайп нужно просто отправить смс с логином на номер ХХХХ, смс бесплатна!».
+2
Otkrick, #
...«с логином и e-mail'ом»…
+2
astlock, #
Чувствую, если не добавят нормальную последовательность действий или описание процесса закидают какашками минусами)
+4
Anisotropic, #
>Внимание! Сменить через саму программу skype основной e-mail нельзя! Только через сайт!
На сайте можно только ещё одно мыло добавить, сменить primery мыло или удалить вообще, у меня что-то не получается. Это у меня руки кривые или там какая-то хитрость?
+3
kekekeks, #
Из линуксовой версии скайпа мыло менять даёт, но на сайте ни черта не меняется. Только зря поле Last Name (раньше не было обязательным) заполнил.
0
ValdikSS, #
Last name можно удалить из самого скайпа (линуксового), кстати, только что проверил.
0
Godless, #
На сайте можно просто вбить что-нить типа "~~~~"
+4
Isis, #
Там криво всё. Добавляете еще один адрес, сохраняете. ф5. нажимаете «добавить ещё мыло» и справа появится круглая штука которой можно установить праймари мыло, а старое удаляете. Сохраняете.
+5
Anisotropic, #
Вот да, уже сам нашел. После сохранения профиля тыкается на «добавить ещё мыло» и тогда появляется выбор главного мыла.
Дизайнеру интерфейсов там у них нужно по башке надавать, а то в плитки всё переделали, а юзабельности нету.
+5
ValdikSS, #
1. Добавляем новое мыло, save
2. Жмем make primary, save
3. Удаляем старое мыло, просто удаляем текст из строки, save
0
kekekeks, #
На втором пункте удаляет которое должно стать новым Primary.
0
ValdikSS, #
Удаляет? Странно, у меня два было, потом одно из них стер.
0
bytecode_rus, #
Это вы пароль ввели неправильный. Сам только что бодался с их чудо-сайтом.
+4
virtan, #
Нельзя нажимать Enter после пароля. Надо нажимать кнопку мышкой.
Вот такое там usability.
–5
RubyRoid07, #
Сейчас менял основной адрес электронной почты, появилось окошко с просьбой ввести пароль, это значит, что дыру прикрыли?
+4
zerkms, #
А был ли вообще мальчик?
0
kekekeks, #
Кстати да, у меня несколько аккаунтов скайпа на одном мыле, при смене оного, соответственно, один за собой остальные не потянул.
+5
throble, #
еще как был. только что взломал собственный аккаунт…
0
zerkms, #
Тогда было бы хорошо увидеть нормальную последовательность действий :-) В исходном посте только одни догадки и недомолвки.

ps: в вашем сообщении внизу скрин страницы скайпа, а как получить ссылку на эту страницу-то?

«Когда переходите по ссылке восстановления пароля» — откуда её взять?
+4
throble, #
Переработал на сегодня. ;) Ссылка то действительно пришла на почту, к которой у меня есть доступ. Прошу прощения за панику
0
coolspot, #
А ещё токен приходит в тот скайп, который мы зарегали на чужой email.
0
deeankin, #
Токен то приходит, но вот когда нажимаем на него, совсем ничего не происходит…
+2
090h, #
Обнови пару раз главную страницу страницу в клиенте скайпа, чтобы реклама показывалась.
+1
zhovner, #
А вы чем читали?
–3
RubyRoid07, #
Простите, но что Вы имеете в виду? Я что-то делаю не так? С радостью выслушал бы Ваше мнение.
–49
BupycNet, #
Не использовал скайп уже наверное пол года, наверное уже взломали. Хотя кому я нужен.
В последнее время использую только в гугле и в вк переписку. Если что и там и там в общем то есть звонки с видео. В гугле даже получше скайпа (конференции бесплатные)
+43
zhovner, #
Спасибо, очень ценная информация.
–2
BupycNet, #
Прям круговорот кармы на хабре. Просто написал свое мнение о том, что скайп уже не так уж и нужен как он был нужен года 2 тому назад и мс купил уже несколько не инновационный продукт.
Также как я понимаю вскоре скайп полностью вольется в инфраструктуру мс и растворится в ней. А если честно я особо не знаю людей, которые так уж тесно используют их сервисы. Вот у гугла хорошая ситуация, их почту (не уверен, но вроде самый популярный почтовик) много кто использовал еще до андроида (самая популярная мобильная ОС), а многим нравится использовать историю поиска (самый популярный поисковик) например или синхронизацию вкладок и закладок в хроме (самый популярный браузер). Вся эта квинтэссенция популярных сервисов и ПО объеденяет практически всех людей интернета в общую сеть. С ростом G+ у скайпа не останется никаких шансов.
Даже например видя у человека смартфон на андроиде можно быть на 100% уверенным, что у него есть гугл акк и можно ему позвонить с использованием видео-аудио связи через интернет.
Также поиск гугла используется у людей больше всего, то есть фактически если доинтегрировать G+ в гугл, то человек будет почти все время онлайн. С любого компа где он зайдет в гугл. С MS такие фокусы не пройдут.
И вот надо было меня из-за этого комментария лишить возможности комментировать чаще чем раз в час.
+1
zhovner, #
С ростом G+ у скайпа не останется никаких шансов


image
0
Mendel, #
Совет — никогда не обсуждайте карму. Особенно никогда не говорите, что она несправедлива. :)

В данном случае ошибочность утверждения в том, что де-факто очень много конфиденциальной переписки идет в скайпе. Ущерб от такого дикого взлома реально исчистяется миллионами если не десятками миллионов.
Ломается всё, но когда цена взлома чувствительной информации падает до нуля это катастрофа.
А вы озвучили это пренебрежительно.
Минусуют, как в жизни так и на хабре за две вещи — за суть и за форму. С формой у вас совсем жопа (у меня тоже проблемы с этим, ничего личного :)) С сутью — хз…
0
maxshopen, #
С сутью не меньшая жопа. В целом ошибка в том, что, здесь, в этом топике обсуждают проблему взлома скайпа. Ни его популярность (огромную), ни перспективы G+ по его вытеснению (сомнительных) а просто уязвимость, серьезную.
Данный комментарий характерно напоминает попытку похоливарить, слабую и неуместную. За это и слили. Так почти всегда происходит, когда в топик про MS приходит оголтелый линуксоид, или наоборот. Или в блоге MySQL написать, что оракл круче, или в топике про фичи iOS написать что говно ваш iOS по сравнению с Android. Ничего личного.
0
throble, #
Господа, описанный метод работает и еще как! Когда переходите по ссылке восстановления пароля, сайт предлагает выбрать ЛЮБОЙ аккаунт, который зарегистрирован на ваш e-mail! Скрин прилагаю. Только что успешно взломал сам себя.

0
rushter, #
Мозг, сам себя взломал…
+44
zhovner, #
Взломай меня:

логин: zhovner
мыльник: pavel@zhovner.com

В противном случае постишь фото себя без одежды.
+23
rvsob, #
» фото себя без одежды.
Мсье знает толк в извращениях.
+3
maxshopen, #
Вы заходите, пишите что-нибудь хоть раз в пять минут, а то боязно ;)
+4
Guria, #
Да не прокатит, там количество запросов маркера пароля превысило лимиты.
+2
Guria, #
Сколько учёток на ваше имя уже завели?
0
coolspot, #
Sorry but due to security reasons you are limited to the number of temporary codes received each day.
You have have reached that limit today, Please try again in 24 hours.
+3
Alex01d, #
Таким нехитрым способом можно обезопасить себя на 24 часа :)
+1
Dreddik, #
Так взломали или нет?
0
zhovner, #
Нет.
+1
denonlink, #
Гениально! И с ЛЮБОГО аккаунта прийдет письмо на мое мыло, которое мое и хрен кто это письмо увидит, откроет и перейдет… Не вяжется никак.
0
BupycNet, #
Я думаю дело в том, что ты взломщик изменит мыло на свое, а код придет тот же самый. То есть привязка акков останется, хотя мыло и изменится. В итоге можно все акки с того мыла сломать.
0
WaveCut, #
1. регимся на мыл с новым сн
2. меняем праймари мыло на новом сн, теоретически оно же меняется для остальных зарегеных.
3. восстанавливаем пароль для остальных.
как-то так?
0
kekekeks, #
теоретически оно же меняется для остальных зарегеных
Не меняется, в том-то и дело.
–1
denonlink, #
Мыло не меняется вообще, ибо, чтобы сменить мыло зареганого аккаунта, нужен доступ к этому самому мылу. А зарегать новый аккаунт — подтверждение тоже нужно, что мыло принадлежит зарегистрировавшему.
–1
denonlink, #
Чтобы сменить мыло нужно подтверждение с этого самого мыла либо пароль(обычно пароль не прокатывает, так делают специально, делая мыло «последней линией защиты»). Не прокатывает.
0
Guria, #
Чтобы сменить мыло на только созданной учётке, нужен пароль от неё, который мы сами придумали её заводя.
+5
throble, #
Переработал на сегодня. ;) Ссылка то действительно пришла на почту, к которой у меня есть доступ. Прошу прощения за панику.
0
inTagger, #
Только что проверил, сейчас уже нельзя выбирать Skype Name. Так что bug fixed?
+2
Lockal, #
В студию:
1) полный код писем, особенно заголовки, изображения и ссылки
2) OS владельцев угнанных аккаунтов

Особенно интересует, что это за письмо, которое начинается с маленькой буквы и со ссылки на api.skype.com. Пока похоже на стандартную разводку лохов, которой сто лет воруют аккаунты на всём подряд от почты до жж и блоггера (на такой же штуковине попадались г-да Мавроди и Навальный).
+11
shaida, #
Не понимаю, что здесь происходит?
Никаких доказательств, а топик в большом плюсе.

+2
kekekeks, #
MAH EYES
0
shaida, #
А вот и доказательства пошли и внятная инструкция.

Учитывая, что история переписки подгружается, это просто кошмар.
–5
IIIyT, #
Бред какой-то.
Как они без доступа к ящику жертвы могут сменить пароль?
+2
Isis, #
Похоже сейчас функция восстановления пароля скайпа сломалась. Ни на одно из 2х акков не приходят письма.
+1
ReaM, #
Причем другие письма приходят.
Т.е. если сменить e-mail, то придет «Зарегистрированный адрес электронной почты успешно изменен». А вот маркер пароля не приходит никуда.
+3
Guria, #
Подтверждаю. Возможно уязвимость всё же было и её как раз лечат.
0
Matsutoka, #
Маркер пароля приходит в клиент скайпа. Только вот ссылки там недоступны сейчас.
+2
braintorch, #
Посмотрел ваши предыдущие статьи. Чувствую, в следующей вы ограничитесь «А-А-А! Мы все умрём!» и соответствующей картинкой. Простенько и со вкусом.
+5
ReaM, #
Появился способ как использовать уязвимость:
forum.xeksec.com/98725/post4/
Проверено, работает.
+2
int03e, #
Сделайте апдейт в самой новости, будет виднее. Да и слитую карму (как я подозреваю, мне даже за qa минусов навалили) вам восстановят :-)
+1
ReaM, #
Уже отписал, уязвимость кстати именно в том что на вторую почту не приходит маркер пароля, а приходит именно в skype-клиент, где висит доп.почта Ваша:)
0
MaximKat, #
Шаг №2, по-моему, не нужен, т.к. код для сброса пароля приходит прямо в скайп.

ПС Только что проверил, действительно работает.
0
Frosty, #
Попробовал дважды, маркер не пришел. ЧЯНДТ?
0
MaximKat, #
Подожди пару минут? Мне не сразу пришел.
+4
zhovner, #
Подтверждаю, работает.
+8
smind, #
т.е. чьёто фото без одежды мы не увидим?
+2
decanet, #
Кому слабо support@microsoft.com ?)
+1
alexpaknix, #
bill@microsoft.com :)
+3
ElManiaco, #
А было бы неплохо со скайпа Билла сообщить Балмеру что он уволен :)
+6
DankoUA, #
Хочу себе акк echo123. Кто знает какой у него имейл? =)
+2
Meliborn, #
Да уж, топик месяца однозначно.
+2
coolspot, #
Попап уведомление о токене всплывает, но токена нигде не найти.
0
olegsuv, #
Только что проверил, уведомление в скайп приходит (в фейк-аккаунт новый), но при клике на него окошко просто исчезает и текста с ссылкой не видно.
Смысл такого уведомления?

Пробовал 3 раза:
1. Кликнул — исчезло
2. Попробовать потягать, покликать по заголовку, пытался сделать скрин — не успел и оно по таймауту исчезло
3. Кликнул — опять исчезло
+13
Isis, #
Чтобы увидеть уведомление:
1. В скайп клиенте заходим на главную страницу.
2. Кликаем ф5 пока не увидим инфу про фейсбук
3. Закрываем инфу про фейсбук снизу
4. Видим инфу о маркерах.
5. PROFIT
0
coolspot, #
Спасибо!
+1
dego, #
а Маке не работает (пункт 4)
0
coolspot, #
Пипец, работает, угнал скайп друга, доступа к почте не было.
+10
ReaM, #
Это работает уже очень давно:(
Но реализацию самой уязвимости я только что прочитал на форуме хеки, догадались после моей статьи.
Я еще летом писал в саппорт скайпа, но точного описания уязвимости у меня тогда не было, только то что в статье сейчас зачеркнуто, то я им и писал. Ответа, конечно от них никакого не пришло. Наверно просто проигнорировали…

За последнюю неделю сломали очень много моих партнеров\клиентов\знакомых в скайпе(и утекли конфиденциальные переписки), как еще достучаться до microsoft'a я не знаю, поэтому создал топик на хабре, но сейчас уже смысла удалять топик особо не вижу, в твиттере уже есть записи, в фейсбуке и т.д. Ничего от этого уже не изменится…
+7
coolspot, #
Всё правильно сделал!
Только стресс, только хардкор! =)
0
DonkeyHot, #
и утекли конфиденциальные переписки

А разве переписка хранится на сервере?
Тут пишут что нет community.skype.com/t5/Security-Privacy-Trust-and/Is-chat-history-stored-on-Skype-servers/td-p/472379
+8
ReaM, #
Переписка скачивается прямиком с компьютера собеседника.
0
nanotime, #
и ещё бонус — если залогинен с двух компов, то на оба (то есть три?) компа приходят все сообщения.

Есть скайп и мейл кого-нибудь из МС?
0
xenon, #
А разве переписка хранится на сервере?
Тут пишут что нет

А тут пишут, что «нет, но… но да».

In order to provide for the delivery and synchronization of instant messages across multiple devices, and in order to manage the delivery of messages between clients situated behind some firewalls which prevent direct connections between clients, some messages are stored temporarily on our (Skype/Microsoft) servers for immediate or later delivery to a user.

As I have outlined above, if a law enforcement entity follows the appropriate procedures and we are asked to access messages stored temporarily on our servers, we will do so. I must reiterate we will do so only if legally required and technically feasible.

То есть они подтверждают, что сообщения проходят через их сервера, подтверждают, что они их записывают, дальше они просят поверить, что это «чисто для вашего же блага, нам самим это не интересно» и что они «удаляют их». Хотя с другой стороны, что значит temporary? Ничто не вечно под луной, так что может и не врут — действительно еще первые сообщения в скайпе у них хранятся, но это временно, лет через 200 сотрут.

В общем не очень приятно доверять компании, которая сначала заставляет технологически включить себя в доверенные, которые будут иметь текст переписок, а потом просто успокаивает, что ничего плохого она нам не хочет. Но… просто, пусть переписка будет у нее. Вот, эта ситуация с уводом аккаунта и вместе с тем с уводом переписки — отличный пример, почему все таки не стоит доверять лишний раз, даже если вопрос «зачем скайпу за мной следить?» выглядит очень убедительным.
0
Krypt, #
Пытаюсь изменить основной адрес (паранойя, видите ли, новый — guid). Новый адрес, который я пытаюсь сделать основным — удаляет из списка. Основным, соответственно, остаётся старый.

В общем топикстартер своего таки добился.
0
HeadFore, #
Спокойно поменял только что. Вы сначала сохраняйте новый основной адрес, а лишь следующим редактированием удаляйте дополнительный.

Но это жесть, конечно. Шаги повторил, на своём втором акке сменил почту, не заходя в старую.
Пришлось делать себе рандомный адрес и менять основной.
+1
Krypt, #
Добавляю почту, жду сохранить.
На всякий случай обновляю страницу.
Новый адрес есть.
Жму «изменить», жму «Сделать основным адресом эл. почты», жму сохранить.
Просит ввести пароль, ввожу.
появляется «Ваши личные данные были обновлены.» вместо всей страницы.
обновляю страницу
нового адреса нет.
0
HeadFore, #
У меня тоже было «Ваши личные данные были обновлены.» вместо всей страницы, когда сохранял по верхней кнопке. Потом повторил по нижней, сработало.
Сейчас ещё раз повторил с нижней, нормально сменилось.
В хроме всё делал.
0
Krypt, #
Уже разобрался, в Опере сайт глючит сильнее, чем в остальных браузерах…
+1
virtan, #
После пароля надо по кнопке мышкой нажимать, а не Enter.
Тогда меняет.
0
kekekeks, #
Попробуйте при в вводе пароля жать Enter не на клавиатуре, а кнопку на странице. Чудо-сайт криво работает.
0
Krypt, #
Жал мышью, у меня есть такое подозрение, что они нахимичили что-то с хранилищем в браузере. Сейчас попробую через ФФ, сейчас из оперы пытался.
0
Krypt, #
Всё, ясно. Мои подозрения оправдались — у мелкософта Опера как всегда работает через заднее место. У меня после любых изменений с паролем в ней слетает адрес на старый и единственный.
В ФФ всё работает.
0
Liza25, #
>там будет написано типа на это мыло уже кто-то зареген

Замечу, что этого не пишется.
Стоит убрать этот момент из инструкции, чтобы не вводить в заблуждение. (Можно подумать, что если предупреждения нет — значит якобы не тот е-мэйл).
0
MaximKat, #
Пишется:

You already have a Skype account.
We can email you a Skype Name reminder and you can reset your password. Or, complete this form to create a new Skype Name.
0
Liza25, #
Извиняюсь, е-мэйл проверяется, и надпись подгружается тут же снизу. Просто мне надо было дождаться)
0
Sect0R, #
Уже не пишется
0
Nickel3000, #
Жду уже минут 10, эфпячу клиент скайпа, но «Главная страница недоступна». На почту уведомление пришло.
+1
varyen, #
Я подтверждаю — работает.
+1
d00kie, #
У кого работает — вы тестировали с разных клиентов/рабочих станций, или аккаунты были с одного клиента Skype? У меня не работает — уведомление в скайпе о маркере приходит, но кликнуть по нему не выходит. Нет перехода по дальнейшей ссылке. То есть шаг 5 наступает, а вот к 6 не пройти. Возможно это связанно с тем, что на то мыло, вторичное, оно на нескольких аккаунтах Skype… Тогда в описание надо добавить, что мыло должно быть «чистым».
0
d00kie, #
Так, а как перейти по ссылке, если ссылки нет. Нотификация в скайпе это не сообщение, только если не нужен какой-то особый старый скайп. На «подставное» мыло ссылка не приходит. Она приходит на примари майл, который мы не контролируем. Значит либо в описании не точность, либо пофиксили, либо фейк.
+3
devolonter, #
В клиент приходит маркер пароля. Содержание этого сообщения можно увидеть в клиенте, на главной странице. У новых аккаунтов там приветствие, поэтому нужно несколько раз нажать F5, после чего пропустить интеграцию с Facebook и увидеть сообщение с кодом для восстановления.
0
ReaM, #
Обновил топик, укоротил.
Никаких доп. имайлов вводить не нужно.
Просто регистрируем скайп на имайл жертвы и восстанавливаем пароль и всё. Это вся уязвимость, которая работает уже приличное время…
0
d00kie, #
Это на внимательность 8) Спасибо
0
coolspot, #
Тоже была такая проблема:
habrahabr.ru/post/158545/#comment_5427761
+3
devolonter, #
Шаги можно сократить, если использовать маркер пароля в клиенте. Куки чистить не нужно (только выйти на сайте), свой email добавлять тоже не надо. Все можно сделать через клиент. Вот это дыра! Кто еще не верит, и не сменил ящик, советую скорее это сделать.
0
d00kie, #
Да, второе мыло не понятно зачем нужно для этой атаки…
0
sidorvm, #
Алгоритм возвращения аккаунта точно такой же, надо полагать. :)
Да еще и ящик угонщика можно узнать
+3
devolonter, #
Основной email можно быстро сменить и пиши пропало. Свой email добавлять необязательно.
0
sidorvm, #
Ааа ну да, согласен.
+2
d00kie, #
Работает.
0
Liza25, #
Не могу понять, почему маркер пароля приходит именно на тот акк, что мы только что зарегали, а на другие аккаунты под этим емэйлом — нет.

Не вижу никакой логики.
0
coolspot, #
Токен приходит во все клиенты всех аккаунтов, зарегистрированных на этот email.
0
Liza25, #
Вы про теорию?

Мной проверено уже на трёх емэйлах. Не приходит.
(Зато «ваш пароль был изменён» приходит мгновенно).
0
coolspot, #
Я про практику. Приходит не на почту, приходит в скайп-клиент, подключённый к свежезареганному аккаунту, зареганному на мыло жертвы.
+1
Liza25, #
Вы не так меня поняли. Я знаю, что на емэйл не приходит. Я недоумеваю, почему приходит на свежезареганный аккаунт и только на него, а на все остальные акки, которые привязаны к этому мылу — нет.
0
amosk, #
Вообще, уязвимость — это когда что-то работает не так как должно, а так чтобы создать проблемы. :)
+1
090h, #
Работает как по маслу )
+1
dasm32, #
Кстати, наверное туплю, но как удалить «дополнительные» почтовые адреса, не вижу нигде соотв. пункта?
+9
shsmad, #
Редактировать → очищаете поле с ненужным адресом → Сохранить. UX дизайнеру руки оторвать…
+2
deadkrolik, #
Я разобрался. Нужно нажать на кнопочку редактирования и ФИЗИЧЕСКИ стереть адрес из поля. А потом нажать на кнопочку сохранения.
–6
Veter9, #
Весьма странно, нафиг вообще уводить скайп-аккаунт)
+9
shsmad, #
Читать чужую переписку, различные виды мошенничеств и пр. Не, не слышал!
–12
Veter9, #
Ну разве что только для этого.
–3
ratkke, #
А как вы прочитаете чужую переписку, если история хранится локально на пк пользователя?
+1
kiwi, #
Переписку можно получить из истории собеседника (она же не только на вашем компе хранится, но и у оппонента)
–3
ratkke, #
Простите, но я так и не понял.
Вот, я такой плохой парень, угнал аккаунт у человека N и хочу посмотреть его переписку с господином K, но я не смогу(или смогу?) это сделать, так как данная переписка хранится у N и K на компьютерах. Поправьте, пожалуйста, где я не прав.
+2
kiwi, #
Вы (чисто теоретически) угнали аккаунт у человека N и получили его контакт лист. Из которого у онлайн-контактов M...etc можно скачать и почитать их переписку.
0
korum, #
После того как господин К появится в сети ваш скайп-клиент получит от него историю переписки.
+13
Mithgol, #
Во даёт Корпорация Microsoft!

Это слив репутации, в общем-то.
0
vk2, #
Почему Вы думаете, что это Microsoft, а не наследие Skype?
+8
Mithgol, #
Аутентификацию по учётной записи Майкрософт они на портал сбоку прикрутили?

Прикрутили.

Значит, либо сами по ходу дела важные ограничители своротили, либо положились на безопасность «наследия» и экономили на аудите безопасности получившегося решения.
–4
smind, #
В нашей стране нет такого понятия как репутация, к сожалению…
+1
vadymg, #
А причем тут Microsoft Corporation к нашей стране?
–1
smind, #
в принципе да, но… вобщем репутация Microsoft не пострадает… незнаю как у них правда это получается…
+6
zorgrhrd, #
Проверил, работает:

— открываем login.skype.com/account/signup-form
— заполняем все* поля, указываем email жертвы, соглашаемся
— попадаем на свою личную страничку, жмем выход
— логинимся в скайп клиент, на главной странице жмем «Нет, сейчас я не хочу подключаться к facebook»
— открываем в браузере login.skype.com/account/password-reset-request, вводим email жертвы
— в скайп клиенте получаем уведомление и видим маркер пароля на главной странице клиента.
— открываем ссылку, выбираем аккаунт жертвы, меняем пароль.
— PROFIT.
0
inTagger, #
Только что проверил, нет выбора Skype Name. Только одно указано.
0
vladon, #
в общем, в secure.skype.com/portal/profile всё равно остаётся старый primary адрес, даже если в клиенте его удалить или сменить
0
vladon, #
Всё, разобрался: нужно сохранить и потом еще раз нажать «добавить email», тогда будет активна кнопка переключения primary адресов.
+8
zorgrhrd, #
так вот ты какое, РЕШЕТО!
+1
UshkiNaMakushke, #
Прихожу сегодня на работу, а скайп разлогинен и залогиниться не могу, думаю что за хрень? Захожу на хабр и тут на тебе ) Оперативно)
+1
Liza25, #
Тут ветром нашептало, что твой пароль 314kvad
+5
kiwi, #
ну у вас и атмосферные явления, однако!
0
E_user, #
Пробую на своем скайпе. На пункте 4 получаю уведомление от скайпа (в трее) Password token. Но это не ведет ни к какой ссылке. Нажимаю на это уведомление, и ничего не происходит. Я что то не так понял?
+3
beat, #
1. В скайп клиенте заходим на главную страницу.
2. Кликаем ф5 пока не увидим инфу про фейсбук
3. Закрываем инфу про фейсбук снизу
4. Видим инфу о маркерах.
0
zorgrhrd, #
пункт 4 и 6 — тут
0
Adam_B, #
хы… Welcome to Microsoft, baby!
+3
silvansky, #
Мне скайп не даёт сменить основное мыло. Точнее, после всех манипуляций дополнительного ящика в итоге нет, хотя он и говорит, что всё ок. Зато требует указать фамилию и страну.
+1
EXL, #
Тут написано как сменить основное мыло на дополнительное.
0
silvansky, #
Собственно, я так и делал.
Но! После последнего пункта «Введите ваш текущий пароль и нажмите клавишу Enter» меня кидает на белую страницу «данные изменены» (без фона и прочего, просто белый текст), при заходе в профиль ещё раз не обнаруживаю там ни нового адреса, ни другого основного адреса. Как будто и не делал всего этого.
0
ishaba, #
попробуйте другой браузер
0
silvansky, #
FF и Chrome — результат одинаковый:

И дополнительное мыло пропадает.

Или сайт скайпа теперь только под IE должен работать?
+4
boolive, #
Мышкой нужно нажимать, а не Enter )
0
silvansky, #
Да, только что сам дошёл.
0
silvansky, #
Помогло переключение на английскую версию сайта. Мда.
+7
silvansky, #
Кхм. Не в языке было дело. В поле ввода пароля для подтверждения смены мыла надо нажимать на кнопку МЫШКОЙ, блин, МЫШКОЙ! На enter на клаве жать нельзя!

UX и UI дизайнеры, равно как и верстальщики, — ...!
+6
Hint, #
Спасибо за статью, мой skype угнали. При чем на моих глазах. В этот момент я сам пытался сменить почту и тут приходит «метка». Играл с вором наперегонки, но, в итоге, сработал лимит на число восстановлений пароля за сутки (теперь надо ждать 24 часа), а злоумышленник оказался последним, восстановившим пароль.
0
ruskar, #
Интересно как вы будете восстанавливать доступ, если злоумышленник оставит в вашем профиле только свои e-mail, а ваши удалит. Хотя если вы хоть раз пополняли баланс Скайпа, тогда сможете.
0
Hint, #
Пополнял баланс скайпа много раз (речь о старом и часто используемом аккаунте), есть вся платежная информация, привязанный подтвержденный номер телефона (настроенные переадресации, идентификация номера и т. д.). Сейчас общаюсь со службой поддержки, надеюсь на лучшее.
0
ruskar, #
Тогда волноваться не о чём, восстановят вам доступ.
+1
Hint, #
Пока что разговор идет ни о чем. Попросили прислать письмо со старого ящика. Прилал. А потом они говорят, что этот ящик уже не указан, а историю смены почты они посмотреть не могут (хотя он был еще сегодня утром, а потом вор поменял почту).
+5
vk2, #
У них еще и логов смены почты нет?
+3
Hint, #
Там служба поддержка крайне неадекватная, не знаю на какой уровень я попал (работают по шаблону, мои ответы не читают). Про баг ничего слышать не хотят, общение идет на уровне рядовой утери пароля, хотя я уже больше часа с ними борюсь. Они мне вернули старый e-mail, удалили новые skype аккаунты, но поменять primary не могут. Пароль вернуть тоже не могут, говорят восстанавливать самостоятельно, но я не могу, потому что надо ждать 24 часа. В итоге, вернулся к началу. Ждать 24 часа и надеяться, что я смогу поменять пароль быстрее вора. Пытаюсь им это объяснить, но бестолку.
0
vk2, #
Как идея — попробовать придти к описанной выше ситуации «Sorry but due to security reasons you are limited to the number of temporary codes received each day. You have have reached that limit today, Please try again in 24 hours.»
+1
Hint, #
Так я к ней и пришел :) Только почта осталась старая, текущего пароля у меня нет. Остается ждать 24 часа и надеяться на то, что тот, у кого сейчас мой аккаунт, не украдет пароль через 24 часа раньше меня.
0
vk2, #
А, я невнимателен. Тогда удачи )
0
Paul, #
Поддержка у скайпа это феерическое нечто, то, что вы за час добились хоть каких-то результатов это большая удача. У меня сотрудник больше месяца с ними бодался по поводу вообще смешной баги — скайп крешился на старте на машине с 32 ядрами. В итоге ему таки выдали воркэраунд — запускать батником с помощью start /affinity 20, чтобы скайп видел не все ядра. Но на это, как я уже говорил, ушло больше месяца, в поддержке индусские роботы, не умеющие читать письма и переспрашивающие по много раз одно и то же.

Так что крепитесь.
+4
Mendel, #
Скайп на 32 ядра?
Месье знает толк в извращениях…
+1
Paul, #
В чем извращение то? В том, что человек себе на компьютер, на котором 32 виртуальных (учитывая гипертрединг) ядра, решил поставить скайп? Или в том, что скайповские разработчики умудрились как то особенным образом написать код, который падает на 32 ядрах?
0
Mendel, #
У меня есть компьютер с 32 реальными ядрами и 2гб оперухи… само это уже извращение, а торрент на нем так тем более… но не выбрасывать же, если он непродавабельный и не нужен… :)

Но даже 32 виртуальных ядра и скайп это извращение, как не крути :)
Даже объяснять не хочу, потому что логически может быть все что угодно, это скорее об ощущениях…
0
Paul, #
Вот я в упор не могу понять в чём извращение. Есть компьютер для работы с 32 ядрами, который нужен. Что на нём, скайп что-ли не запускать? Скайпиться с телефона?
0
vsespb, #
Такой вопрос может решить только девелопер, так что месяц — вполне нормально.
0
Paul, #
Так месяц саппорт просто перезадавал по много раз одни и те же вопросы типа «какая у вас ОС» или «получается ли запустить после удаления shared.xml в профиле», хотя исчерпывающая информация на все эти вопросы была дана в самом саппорт реквесте.
0
korum, #
Одному знакомому поддержка втирает что нужно сменить пароль от почты, ичх, он сам в тп работает.
+3
Hint, #
Все закончилось хорошо. Служба поддержки непробиваемая (подробности выше): сообщения про баг игнорируют и выполняют стандартные процедуры, которые в данном случае не подходят.

Например, для восстановления первичной почты они предложили назвать номер последнего платежа. В примечании WebMoney указано только SKYPE-000000608106516286170000100001-Skype, что не является номером (такой ответ они не принимают). На вопрос «что делать», мне было предложено зайти в аккаунт Skype на сайте и посмотреть там :) Это при том, что мы занимаемся восстановлением пароля. К счастью, у меня был привязан аккаунт Facebook (и злоумышленник не удалил привязку), получилось зайти в skype через него.

Почту вернули, новые учетные записи отвязали, пароль предлагали восстановить самостоятельно через 24 часа. На просьбу поменять основную почту отвечали отрицательно (говорили, что сейчас восстановлена та, на которую регистрировался аккаунт).

В итоге, сказал, что почту у меня тоже украли. Нашелся подходящий шаблон действий, после чего primary mail мне все-таки сменили.
+7
xenon, #
это какая-то не служба поддержки, а служба защиты от пользователей.
0
boolive, #
504 на смену пароля
+29
dshster, #
Могу посоветовать трюк, что-бы не создавать новый никому не известный емайл можно к существующему емайл добавить суффикс через +, например:
обычный емайл: мой_логин@мой_домен.ru
емайл с суффиком: мой_логин+секретное_слово@мой_домен.ru
письма отправленные на емайл с суффиксом приходят на ящик без суффикса (мой_логин@мой_домен.ru), но система считает этот емайл уникальным! Проверено на яндекс.почте и gmail.
Единственный минус — некоторые парсеры емайла не пропускают символ +, но к счастью таких не много.
+7
dshster, #
А еще на емайлы с суффиксами удобно подписывать разного рода подписки и рассылки и потом сортировать их фильтрами, даже если емайл отправителя или/и тема письма будут периодически меняться. Пожалуйста.
0
avz, #
Опередил. =)
Только что проверял с GMAIL
на основном Skype поменял primary email на gmail с плюсиком. еще на одном тестовом аккаунте не менял — оставил как есть
создал 3й скайп аккаунт и угнал из под него второй аккаунт. В списке когда выбираешь пароль от какого аккаунта менять первого основного с + в mail не было.
Так что этот трюк работает. Подтверждаю
+2
ferrozer, #
На gmail ещё можно логин точками разбавлять.
Так что можно менять user@gmail.com на u.se.r+skype-r35h3t0@gmail.com
0
qweewq, #
А ещё дефисы в адресе можно заменять точками. Почта та же, а адрес — уникальный. Проверено на Яндекс.Почте.
0
AndreyDmitriev, #
Ещё трюк, которым я пользуюсь, если точки или плюсы не проходят по каким-либо причинам: я себе на недорогом хостинге зарегистрировал свой домен с коротеньким именем и возможностью добавления своих почтовых ящиков, и там есть такая фишка как «Catchall-E-mail» — там указан e-mail адрес сборщика для почты, для которой не заведён почтовый ящик (эта опция, вероятно, может не всеми хостингами поддерживаться). Суть вот в чём: что бы я не написал до @МойДомен.de — вся почта автоматически валится на один центральный адрес (ну а там её уже можно фильтрами обработать). Отправителю при этом никаких сообщений типа «нет такого ящика» не отсылается.
0
Mendel, #
Два реальных кейса:
1 — спамеры прислали с миллион сообщений на разные имена, все благополучно были переадресованны. Домен правда был боевой, PR3 но тем не менее.
2 — антиспам-фильтры хостера не зная что определенный адрес «разрешенный» приняли его за спам по типу кейса №1.

Советую лучше делать конкретные ящики и делать переадресацию на свой основной. Обычно это доступно.
0
AndreyDmitriev, #
Спасибо, замечание разумное. Эти кейсы имеют отношение только к более-менее «засвеченным» доменам. Регистрация конкретных ящиков, конечно, доступна, но требует дополнительных телодвижений (впрочем это всегда можно постфактум сделать). Мне спама туда практически не валится в силу малой известности домена — на нём ничего не хостится и поисковыми системами он не индексируется.
0
Mendel, #
Ну если A или CNAME нет то конечно да, но на счет «не индексируется» у меня тоже есть несколько кейсов :)
1 — в свое время я забыл закрыть от индексации свой анализатор контента который преобразовывал ссылки на ссылки внутри парсера. В результате Яндекс попытался выкачать через меня весь интернет… положил мне VDS и мне пришлось разделегировать домен на неделю, чтобы этот DOS закончился… Сам не знаю как так звезды стали, что меня так сильно индексировали… обычно не дождешься, а тут положил сервак.
2 — тестировал свой метапоисковик… молодой был, глупый. robots.txt не сделал. Думал домен никто не знает, ссылок на него нет… а тут еще и поддомен. В общем был удивлен трафиком с гугла около 300 человек в день. Анализ показал, что один из моих знакомых который тестировал скрипт перешел с него на сайт который выводил у себя активными ссылками реффереры со словами мол к нам приходят оттуда. Ну а дальше уже понятно — сниппеты достаточно релевантные, и поисковик посчитал контент достаточно релевантным для многих ключей…
3 — неоднократно замечал как после регистрации домена почти сразу приходил гуглобот, посмотреть есть ли там сайт.
+12
ruskar, #
Благодаря статье угнали скайп-аккаунты Ильи Варламова, Антона Носика, Алексея Навального. Первым двум повезло больше: злоумышленники сами вернули аккаунты владельцам.
0
Breads, #
Лучше уж так, можно принять меры, а то бы никто не понял, что происходит. Учитывая, что ms все еще молчит.
0
Gorthauer87, #
Навальному тоже вернули, если верить твиттеру. В общем, Скайп сегодня очень сильно потерял в репутации.
+2
ishaba, #
Я в ярости! Как вы меняете основную почту?!

Добавляю новый email сохраняю, все окей теперь у меня две почты жму изменить информацию меняю праймери -> сохранить -> ввожу пароль -> пишет что профиль сохранен (пустая белая страница и текст) захожу снова в профиль, а там старый праймери мейл и ничего больше…
Уже пробовал в хроме и опере, пойду в фф попробую…
+2
Kwull, #
мышкой нажимайте сохранить, enter не корректно работает
0
ishaba, #
спасибо
+12
nikitasius, #
Кто уже пробовал dima-badminton@kremlin.ru и VoVaP@kremlin.ru?)
0
Sect0R, #
Вот мне интересно, а стоило ли публиковать настолько ПОЛНУЮ инструкцию как это сделать? :-D
Школота сейчас будет мучать всех :)
0
ficuskaktusovi4, #
Уже прошло столько времени, а от майкрософта реакции ноль. Чувствую пора искать скайпу альтернативу.
0
xsen, #
Давно пора. Если найдете — дайте знать.
0
Smithik, #
Skype в курсе и в данный момент исследует эту проблему.
Пресс-служба Skype.
+1
Sect0R, #
А что там исследовать?
Для начала пока не утащили все ящики запретить регистрацию на основную почту других аккаунтов, а там уже думать.
+2
Mikhail_K, #
я вообще не понимаю чем думали люди, когда разрешили регить новые аккаунты на существующий адрес без подтверждения прав на ящик. Причем эти левые акки нельзя ни удалить ни заблокировать, в итоге кто хочет на ваше мыло регит черт щнает что))
+2
Sect0R, #
P.S. или маркер не высылать :)
0
Smithik, #
Временно отключили функцию сброса пароля.
+3
Isis, #
Что-то вы рано.
+1
Matsutoka, #
Как я понимаю, слишком много желающих попробовать такое?

Страницы, ссылки на которые приходят вместе с маркером пароля, недоступны.
0
Ryotsuke, #
Аналогично, мертвые
0
BeLove, #
Все работает, 5 минут назад проверенно :)
+3
kiwi, #
мда, 12 часов после обнародования настолько критической дырки, и они «исследуют»
0
BeLove, #
Уязвимость на сайте скайпа они так и не поправили, которую я репортил им полгода назад :]
+3
kiwi, #
збс работают! :)
0
Isis, #
Зарубежные СМИ еще даже не в курсе.
0
kiwi, #
да и в твитере пока только русскоязычное население репостит, почти нет твитов западных
+2
virtuall, #
Меня как-то тоже смущает, что никто из присутствующих не вынес это за пределы рунета. Как такое получается?

Вообще единственное упоминание, которое нашел www.reddit.com/r/netsec/comments/13664q/skype_vulnerability_allowing_hijacking_of_any/

Или плохо ищу?
+1
enotramone, #
Появилось и на Hacker News.
0
coolspot, #
Плохо, там в коментариях на реддите есть ссылка на иллюстрированное руководство как и что на английском.
0
adic3x, #
Если злоумышленник сам не сменит почту на угнанном аккаунте — его таким-же способом можно вернуть?
0
Hint, #
Да, если не исчерпан лимит на число восстановлений. Иначе придется ждать 24 часа (а к тому времени почту уже почти наверняка сменят).
+8
ionicman, #
Вобщем сайт у них глючит не по детски, вобщем кто хочет защититься от школоты:
1) заходим на secure.skype.com/login
2) логинимся
3) идем в «Личные данные»
4) «Добавить адрес» -> вводим свой мыл с суфиксом, т.е. вместо «imСОБАКАhost.ru» «im+чтотоСОБАКАhost.ru»
5) «Сохранить»
6) разлогиниваемся
7) снова логинимся
8) идем в «Личные данные»
9) жмем «Изменить»
10) около нового мыла щелкаем «Сделать основным»
11) «Сохранить» + вводим пароль
12) идем в «Личные данные»
13) «Изменить» -> стираем старый мыл -> «Сохранить»

Усе. Скайп будет считать в качестве Вашего мыла «im+чтотоСОБАКАhost.ru», а приходить с него будет на «imСОБАКАhost.ru»
Без разлогиннивания у меня «сделать основным» тупо убирало новый адрес и оставляло старый под FF

+2
RainFall, #
Стоит отметить что по мылу аккаунт все еще ищется в «добавить пользователя». Но восстановить пароль уже не получается.
+3
virtuall, #
Не, ключевой момент в шаге «11) «Сохранить» + вводим пароль» — надо щелкать кнопку мышкой. Разлогин не нужен (если только они еще что-то не сломали за последние 20 минут)
0
ionicman, #
пробовал — в хроме сканало в FF нет. FF 16.0.2
Может конкретно какие-то у меня особенности ( плагинов куча стоит )

Можно сначала попробовать с помощью мышки — если не прокатит — юзать как я описал :)
+30
RainFall, #
Hello, my name is Linus Torvalds and i pronounce «Skype» as «РЕШЕТО».
+5
J_o_k_e_R, #
Мыши плакали, кололись, но продолжали юзать скайп…
+1
zadnica, #
Опаньки, это уже не есть хорошо.
0
Flammar, #
Надо в Skype через Facebook логиниться.
+8
denisemenov, #
Угнал Skype сам у себя! Чувствую себя гениальным хакером, всемирным злом и повелителем всех смертных!!! :)
+2
shamaner, #
а какой у тебя логин и мыло?
+6
Dasco, #
и пароль
+1
Sect0R, #
Хватает мыла, логин потом покажут :)
0
denisemenov, #
dеnisemenov@gmаil.com
Жгите, товарищ! ;)

А вообще эту информация легко найти ;).
0
shamaner, #
Если б вы знали какое у меня мыло, я всегда его читаю и краснею.
0
ctajiuh, #
Мой друг угнал у меня. Без моего ведома и не зная пароль к почте. Письма пришли мне, они не были прочитаны на момент, когда я узнал о факте взлома. Так что дыра зияет.
+1
Nike0, #
Не знаю что у вас, но расскажу свою чудо историю.
Пока добирался до работы, на почту пришли «письма счастья» от скайпа о регистрации пользователя на мыло, затем последовательно получил сообщения о токене и смене пароля, а потом вообще, что на этом аккаунте зарегистрирован новый почтовый адрес (с нехитрым названием volanxak@yandex.ru).
Потом начал разбираться со скайпом, параллельно открыв Хабр и увидел про данную уязвимость.
Вернуть доступ к аккаунту я-то смог, благо мыло не удалил из учетки, а вот с логином-то беда: под его могу зайти, под своим же нет.
Может кто подскажет, как вернуть доступ именно к тому логину?
0
Hint, #
Аккаунт еще не перенесли на другую почту? Это делается легко в кабинете без необходимости подтверждения операции.
Проверьте, сделав восстановление пароля. После ввода почты необходимо выбрать аккаунт. Если вашего старого аккаунта в списке нет, то у него уже изменили primary mail.
0
Nike0, #
Смотрите, мне на почту пришло извещение, что зарегистрированный адрес электронной почты успешно изменен, и теперь вместо моего логина отображается логин мошенника.
Затем я восстановил пароль (когда работало еще), но в личный кабинет пускало не под моим, а под тем логином. Там же я удалил 2 ящик (мошенника).
P.S. Все равно толком не понял как мне восстановить пароль именно к той учетке, а то терять все контакты совсем хреново получается.
0
Hint, #
Теперь только через тех. поддержку, т. к. у вашего аккаунта сменили почту.
–1
Anarchy, #
При смене основного мыла попросили пароль. Дыру закрыли?
hostingkartinok.com/show-image.php?id=9464583a67acb1d917c376d58b39a0be
P.S. Картинка никак не вставляется(
+3
kiwi, #
нет, пароль при смене спрашивало и до этого, дыра не в нем
–3
Hint, #
(удалено)
–1
coolspot, #
Пароль спрашивали, но вы его до этого, на шаге №7 сменили на любой свой.
+3
vladon, #
Страницу восстановления пароля ( login.skype.com/account/password-reset-request ) прикрыли, она просто редирект на страницу логина.
0
agentru, #
Не прошло и пол года)))))
0
vstaf, #
«We’ve been informed of a vulnerability in our password reset process, which could compromise the security of our users. We have temporarily disabled the password reset process for Skype accounts to prevent this vulnerability from being exploited.

Security is of the highest importance to us and we are working on getting this fixed as soon as possible.

We apologize for any inconvenience caused to users who need to reset their passwords, but our priority is protecting the integrity of user accounts.»

отсюда

(facepalm)
0
Nike0, #
Мне интересно, как они будут восстанавливать те учетки, на которые платежи не производились?
+1
J_o_k_e_R, #
Security is of the highest importance to us and we are working on getting this fixed as soon as possible.

Лицемерные наглецы. Я бы им в лицо плюнул за такие заявления после такого фейла. Они бы еще базу логинов паролей (нешифрованных) просрали и заявляли, что «Security is of the highest importance to us»
0
Mendel, #
Ежики плакали, кололись…
Если бы это был первый инцидент со скайпом то было бы о чем говорить.
Я вообще не держу скайп на одной физической машине с уязвимыми данными.
Друзья называли параноиком… Сегодня мой черед с них смеяться.

Все это было бы забавно если бы некоторые крупные компании не использовали этот говонософт в бизнесмодели.
Очень сильно удивлялся в свое время что вся корпоративная переписка в Приватбанке ведется(велась?) в скайпе…
+15
DankoUA, #
Итак, первое место в номинации «ДЫРА ГОДА» заслуженно получает MS. Воистину не оскудеет глупость человеческая.
+2
denisemenov, #
Интересно, а дыра была еще до того, как MS купили Skype?
Кстати, насколько я понял, Skype'ом продолжают заниматься те же самые люди, которые были и до этой сделки с MS.
В итоге, MS тут не совсем виноват :).?
0
DankoUA, #
Вроде после того, как MS добавили «упрощенный» функционал.
+1
DSL88, #
Ух как долго я в нем блуждал…
0
vladec, #
Да, скайпом занимается все те же люди, что и раньше.
МС как раз гайки закручивает, чтобы улучшить секьюрность.
+4
Neofant, #
login.skype.com/account/password-reset-request — Система восстановления пароля уже не работает. Перенаправляет в страницу авторизации.
+4
ReaM, #
И года не прошло…
+2
Nia, #
и даже никакой «школьник» не попробовал. снова это чувство, никому не нужен. эх.
+1
MrTiM, #
«Перенаправляет» и «не работает» — не одно и то же. Всё работает через POST.
+1
kss, #
Кажется прикрыли, при выборе на странице смены пароля (забыли пароль) происходит редирект на страницу для входа в профиль
–9
AleksandrFox, #
только у меня одного сложилось впечатление, что инструкция взлома скайпа похожа на инструкцию для какого-нибудь ФБРэвца или еще кого из спец.служб?
+6
Isis, #
что?
+1
Mendel, #
Одному.
Закладки работают через отдельные интерфейсы, или в софте или в вебинтерфейсах и т.п.
Тут же просто чья-то тупость.
0
metronix, #
Просто epic.
Интересно будет почитать подробности появления бага если будут…
0
BurundukXP, #
кстати, email в скайпе приватное поле, но по нему можно вести поиск. то есть, теоретически, можно подобрать email человека, просто используя поиск.
–1
j0ker, #
Это нормально, что восстановление пароля сейчас вообще не работает?
0
nonam3, #
Учитывая, что Skype владеют мелкомягкие — это самое действенное, на их взгляд, решение.
0
j0ker, #
У знакомого вчера угнали Skype. Хотел тем же способом вернуть его обратно, а форма восстановления не работает (
+4
boramod, #
Если положить на весы с одной стороны описываемую дырку, а с другой — не рабочее восстановление, то, наверное, нормально.
+2
Nike0, #
Видимо исправляют уязвимость, чтобы всякие школоло не могли дальше ломать аккаунты.
0
opanas, #
Нормальней, чем было до этого :) Наспех принятое решение, похоже.
+2
vladec, #
А что, оставить дырку открытой на время исправления было бы лучше?
Оперативно принятое решение.
0
nnseva, #
Впечатление, что уязвимость работала только для самых свежих версий skype. Например в скайп на линуксе, который отстает с версией, после выполнения шага 3 тикет на смену пароля (шаг 4) не пришел. Поснифить протокол не догадался, впрочем там кажется, он шифрованный.

Пока закачивал и запускал скайп под виртуалбоксом, дырку login.skype.com/account/password-reset-request похоже залепили пластилином — редиректит снова на логин.

Думаю, данный пост выполнил свою задачу — стукнуть по голове мелкософту, чтобы шевелился. Автору респект за предупреждение и комплейн за подсказку уродам, радостно пожравшим чужие акки.
0
grauru, #
Skype сообщает, что они временно закрыли форму password reset'а до окончания разбирательств

Password vulnerability
23 minutes ago

We’ve been informed of a vulnerability in our password reset process, which could compromise the security of our users. We have temporarily disabled the password reset process for Skype accounts to prevent this vulnerability from being exploited.

Security is of the highest importance to us and we are working on getting this fixed as soon as possible.

We apologize for any inconvenience caused to users who need to reset their passwords, but our priority is protecting the integrity of user accounts.
–1
ruskar, #
По прямой ссылке всё ещё работает.
0
grauru, #
Там теперь требуют ввести логин, имя, фамилию, страну и информацию по последним покупкам. Так просто не увести уже.
0
agentru, #
У подруги увели скайп, основной емейл поменяли.
Саппорт морозится. Как возвращать доступ к аккаунту — низвестно.
Слов нет — одни эмоции!
0
Nike0, #
Да аналогично, я даже не знаю, как буду возвращать список заказчиков…
Видимо хуже всего приходится фрилансерам.
+1
j0ker, #
Их саппорт – это вообще целая история. Тоже были проблемы какое-то время назад, тоже связывался с ними. Над одним тикетом работали человек десять по очереди, каждому из них приходилось заново объяснять суть проблемы, а они отвечали стандартными фразами. Заказал платную поддержку, пообщался уже в режиме чата с одним человеком, но проблему решить так и не смогли. Индусы одним словом.
+1
maxshopen, #
Заглушку поставили, уязвимость скорее всего пофиксят. Теперь интересно как будет происходить откат от набежавших угонщиков. Логично было бы откатить изменения, совершенные по данной схеме, т.е. вернуть primary мыло в первоначальное состояние для всех адресов на который пытались зарегать еще один аккаунт и выслать на них ключ для смены пароля… вот только хранятся ли предыдущие примари после смены. А иначе как вернуть себе угнанный акк?
+1
agentru, #
Епик Фейл будет если у них история смены мыл не хранится…
+1
Godless, #
Выше писали, что в суппорте посмотреть историю не могут, т.е. скорее всего ее нет. Разве что diff бекапов… если и они есть…
0
Smithik, #
Официальный комментарий от представителя Skype:

Мы получили сообщения об уязвимости в системе безопасности Skype. В целях безопасности наших пользователей мы временно отключили функцию сброса пароля, также мы продолжаем дальше исследовать этот вопрос. Приносим свои извинения за неудобство, безопасность наших пользователей является нашей первоочередной задачей.
+1
Sect0R, #
Вот интересно другое — как сейчас люди поменяют пароли если функция восстановления заблокирована.
+1
maxshopen, #
Никак не поменяют, придется подождать, это же временная мера. В любом случае это лучше чем им поменяет пароль кто-то другой
0
maxgalkin, #
Отключили?
0
grauru, #
Там спросят логин, имя, фамилию, страну и информацию по последним покупкам. Так просто не увести уже. Без информации по покупкам reset делать отказываются.
0
Nike0, #
Красавцы, что тут скажешь…
+1
Nike0, #
Я просто плачу от ответа робота: «Thanks for contacting Skype. Just to let you know, we've received the support request you submitted on our website. We'll get back to you with more information in the next 24 hours. Hold tight!»
+12
freextraz, #
Работайте через Сделку Без Риска! Нечего по скайпам шастать!

</sarcasm mode>
–6
Nike0, #
Хех, была бы карма, поставил бы плюс один :)
+2
AN3O, #
Самое ужасное, что почти сутки после публикации товарищи из мелкософта и ухом не вели =\
+1
wartur, #
Более того они проспали уведомление в скайп-сапорт =)
+3
Mendel, #
Приватбанк (самый крупный украинский банк) глубоко интегрировал в свою бизнес-модель скайп.
Меня все мои менеджеры упорно пытались затянуть в эту клоаку мол удобно, и между собой у них значительная часть переписки в скайпе.
Сегодня у меня, и у некоторых моих партнеров в Привате некоторые операции сильно заторможены по сравнению с обычной скоростью (с утра не пришло то, что обычно за пару минут происходит).
В интернет-банкинге все сильно тормозит. Очень сильно.
Сижу сейчас в задумчивости — совпадение или.....?
0
gorbarsky, #
А вот и официальная реакция подоспела:
http://heartbeat.skype.com/2012/11/security_issue.html
0
Mofas, #
Мне представляется только один способ восстановления угнанного акка.
Если вы зачисляли туда средства, то можно в саппорт предоставить даты и суммы и подтверждающие документы оплаты.
Возможно это может являться способом восстановления доступа.

Для тех, кто платежи не вносил, советов нет…
–9
Serebr, #
Описано также в Викиреальности: http://wikireality.ru/wiki/Взлом_аккаунта_Скайпа, можно дополнять.
–3
AracooL, #
«отключили функцию сброса пароля» — всё, уязвимость исправлена!
0
agentru, #
Пообщался с саппортом.
В общем, пока у тех у кого угнали и сменили мыло, а также нет истории покупок все плохо.
Так как саппорт, пока никак не поможет.
Есть надежда, что сделают процедуру для возврата, но опять же упирается все в то, есть ли история смен емейлов. По логике быть она должна.
0
turich, #
Я тоже пообщался сначала с одним индусом, потом со вторым индусом-специалистом, который сказал, что перенаправит кейс к специалистам (во иерархия у них-то!).
Впрочем, они восстановили уже мой мейл. Ну а пароль пока поменять невозможно.

p.s, у меня покупок не было, но были использованные ваучеры и акции
0
agentru, #
Отлично! Следовательно не все так плохо, по поводу акций и ваучеров пожете поподробнее рассказать?
0
turich, #
Поскольку я не коннектил кредитку, то единственной возможностью показать «покупку» была указать номер заказа (Order) от использованных ваучеров/акций. Не знаю, равноценны ли они покупке с кредитки, но, похоже, им хватило.
0
turich, #
Короче, похоже, после разговора днём они поменяли мейл, но поменять пароль я не смог поменять из-за общего запрета.
Через пару часов снова получил письмо, что поменялся мейл моего аккаунта (на тот же хакерский).
Сейчас я снова списался с поддержкой и они вернули мой мейл и заблокировали мой аккаунт на 24ч. Просят потом поменять пароль и написать им, чтобы разблокировали.
0
fr33z3, #
А вот и еще один повод перехода с этого месенджера на более удачные технологии…
+3
zhovner, #
Например какие?
–1
fr33z3, #
Я вот собираюсь на google talk.
+1
zhovner, #
Сравните задержки, нагрузка на цп, качество звука.
0
fr33z3, #
В текстовом режиме не замерял, но на глаз — не сильно больше. В видео режиме — как-то тоже не заметил. А вот звук у меня почему-то получался лучше чем в скайпе. И да — скайп не позволяет одновременно расшаривать свой экран обоим собеседникам одновременно. А вот google talk — позволяет.
0
spiritedflow, #
С точки зрения баги в сабже, gtalk от скайпа ничем принципиально не отличается. Там также могут найти дырку, увести логин и вы также будете доказывать саппорту, что вы это вы. Только в этот раз саппорту гугла, который также будет тупить и отписываться шаблонами, потому что на первую линию специалистов не сажают. Это шило на мыло.

Настоящее решение: свой, контролируемый xmpp сервер. Увести логин смогут и там, но у вас будут все логи, и возможность вернуть логин с важными контактами, ничего никому не доказывая.
+2
fr33z3, #
А вы на него сами-то свою маму сможете посадить? Что бы у нее не возникало дополнительных вопросов, а как же мне сыну позвонить?
+1
spiritedflow, #
Даже не пытался. Также я не использую xmpp практически. На работе скайп, да и среди домашних тоже.

Но сути это не меняет. Уходить со скайпа на gtalk из-за этой баги — пустые телодвижения. Если нужно решение, гарантия и безопасность — то свой xmpp сервис (или аутсорс), правда придётся пересаживать контакты, переучваться и т.п. Выбор у каждого свой.

P.S.: да, gtalk, насколько я помню, это просто xmpp сервер. Маму можно и на gtalk перевести, а себе настроить сервер, если нужно.
0
fr33z3, #
Я в самом начале написал, что это «еще одна причина». Вероятно я имел ввиду, что это «еще один» минус в сторону, skype и логично предположить, что есть еще кое-что, что в skype меня не устраивает. Что именно обсуждалось в комментариях вот к этому посту:
http://habrahabr.ru/post/157709/
0
J_o_k_e_R, #
Если нужно решение, гарантия и безопасность — то свой xmpp сервис (или аутсорс), правда придётся пересаживать контакты, переучваться и т.п. Выбор у каждого свой.

У меня свой xmpp сервер.

Я крайне негативно отношусь к скайпу, но по голосо- видео- функциям он к сожалению выигрывает у чистого xmpp. google сильно доработал свой gtalk от xmpp, насколько я знаю.

В чистом xmpp, используя jingle (который уступает скайпу в качестве), к сожалению:
1) Данные напрямую между пользователями и мне не получилось заставить работать через STUN.
2) Насколько я понял, аудио- видео-данные не шифруются.
+17
pravic, #
Они не отключили функцию восстановления, а просто редиректят с той страницы.
Если ты в ручную POST'ишь на их страницу поле email (как было в старой форме) — то она по прежнему восстонавливает пароль!

Н-да, какой эпический баг и не менее эпический фикс его.
+2
korishxp, #
Только что проверил включили восстановление пароля, отключили маркер пароля который приходил в скайп.
0
vitovt, #
да, все верно, отключили, только на почту приходит
0
korishxp, #
Скажу более того при использовании маркера с почты осталась возможность выбора аккаунтов так что ждем очередную дыру.
0
Ernillew, #
Какую? Что взломав почту можно получить все скайповые аккаунты которые зарегены на эту почту?
Да, это та еще дыра.
+2
Noker, #
Про вас даже по РЕН ТВ рассказали! =) Похвально.
0
Smithik, #
Комментарий от Skype: «Рано утром мы получили уведомление о сообщении пользователя, касающееся безопасности функции сброса пароля на нашем сайте. Эта проблема затрагивает пользователей, зарегистрировавших несколько учетных записей Skype на один и тот же адрес электронной почты. Сегодня утром мы временно приостановили работу функции сброса пароля в целях безопасности и провели обновления в процессе сброса пароля, что наладило его работу. Мы оказываем поддержку небольшому числу пользователей, которым, возможно, пришлось столкнуться с неудобствами. Skype стремится обеспечить нашим пользователям безопасную и надежную связь, и мы приносим извинения за неудобства.»
+3
Kiborg777, #
Мда, по-моему они до сих пор не поняли главную причину проблемы: возможность добавления email адреса в Skype аккаунт без верификации этого email-a. Все остальное (типа маркер больше не приходит на Скайп клиент) — костыли.
+6
Mendel, #
Мы оказываем поддержку небольшому числу пользователей, которым, возможно, пришлось столкнуться с неудобствами.

Да они ох*ли. Иначе никак это не назвать.
Я понимаю что они не могут признать, что те лохи которые не слушали советов специалистов и считали скайп надежным потеряли на этом десятки миллионов баксов (если не больше)… Но нельзя же так врать.
«Ошиблись, исправились, извините за созданные проблемы.» — и этого было бы достаточно.
Реквизиты платежных карт, пароли от регистраторских панелей, пароли от интернет-банкинга, клиентская база, внутренняя бухгалтерия конкурентов… это только то, что я знаю, реальные кейсы так сказать… А что нарыбачили мошенники так страшно подумать.
0
Kiborg777, #
«Да, мы ох*ли, ну и что?» А если по делу, то это все не похоже на случайный баг программиста: отсутсвие верификации email-a — это 100% просчет в дизайне. Посылка уведомления на смену пароля не только в email, но и на клиент — это тоже скорее всего дизайн, а не случайная ошибка в программе. Хотя, со вторым не уверен. возможно, вместо notifyUserByEmail(passwordResetUrl) криворукий программист использовал notifyUser(passwordResetUrl)
0
DonkeyHot, #
> «Да, мы ох*ли, ну и что?» А если по делу, то это все не похоже на случайный баг программиста: отсутсвие верификации email-a — это 100% просчет в дизайне.

Тут все интереснее, это не случайный баг, это сознательное решение, для повышения юзабилити.
У них есть два сознательных послабления в интерфейсе, каждое из которых само по себе невинно и даже полезно, с точки зрения юзабилити:

1. Действительно, не так уж и нужно заставлять юзера подтверждать емейл – ведь нет смысла регить скайп на чужой емейл. И если кто-то зарегил скайп на твой емейл, то для тебя это не должно создать проблему.

2. И действительно, удобно получать маркер пароля в клиент – например скайп может стоять годами на компе и я уже забыл пароль, а емейл на который регил может быть уже удален например.

А уязвимость возникает только при комбинации этих двух послаблений. Вот так вот бывает, стараешься, делаешь удобнее людям и открывается дыра ненароком.
0
MrShoor, #
Вот не могу с вами согласиться.

1. Я придумал классный (еще не занятый) логин скайпа. Я регистрирую его и… ошибаюсь в заполнении мыла. Прощай красивый логин навсегда? То что там дважды вводить почту при регистрации надо — в рассчет брать нельзя, потому как почта часто копипастится. Банально меня может переклинить, и к gmail например я могу приписать ru домен (было так уже пару раз)

2. Данная функция удобна только в одном случае. У тебя стоит скайп на машине, и надо поставить на телефон например, а почта от скайпа забыта. Однако если ты «утратил» почту, и нет не единого залогиненого скайпа — то все? Прощай скайп? Так что почту терять — нельзя. Иначе в один прекрасный день рано или поздно будет «ой». Если бы они хотели удобство в этом плане — то могли бы вообще не привязывать акк скайпа к почте.

В общем очень сомнительные эти удобства.
0
DonkeyHot, #
>Я придумал классный (еще не занятый) логин скайпа. Я регистрирую его и… ошибаюсь в заполнении мыла.
>Прощай красивый логин навсегда?

Почему? После регистрации вы можете зайти в профиль на сайте и поменять почту на правильную.

>Однако если ты «утратил» почту, и нет не единого залогиненого скайпа — то все? Прощай скайп? Так что почту терять — нельзя.

Терять нельзя, но иногда теряют же, взламывают например или почту могут удалить после длительного неиспользования.
0
DonkeyHot, #
Пример юзеркейса для второго случая
Например когда регил скайп сделал почту только для него, больше ею не пользовался (не нужна).
Потом пользовался год скайпом, теперь хочу поставить на другую машина и понимаю, что пароль не помню, лезу на почту – оп-па ее уже удалили, за неиспользование. Что теперь делать?

Естественно, если бы пароль не был вбит в клиент, то я бы его вряд ли забыл, потому что приходилось бы вводить каждый раз. А когда клиент логинится автоматом, то это повышенный риск забыть пароль со временем.
То есть в Скайпе как раз подумали про такие ситуации, а не от балды так сделали.
0
Mendel, #
Правильное упрощение или нет это дело десятое, вы не о том спорите…
Вопрос как самим избегать таких ситуаций? Какое тестирование спасло бы тут?
0
DonkeyHot, #
Их спасла бы четкая политика относительно емейлов, чтобы не было в разных частях системы разного уровня доверия к нему.

С одной стороны они поддались моде, что не надо сильно привязываться к емейлу (его не подтверждают при регистрации, емейл можно менять без подтверждения, токен высылают не только на емейл).

А с другой стороны дополнительные аккаунты связаны через емейл, то есть тут уже емейл имеет даже большее значение для идентификации владельца, чем пара логин / пароль от аккаунта.
0
Mendel, #
Это все да.
Но это мы можем говорить постфактум.
Когда N лет назад я слил базу САПЕ всем кто в теме было понятно «Ну конечно же, черный список… как они могли так протупить то?». Тут даже не надо было что-то узнавать от меня — как только стало понятно что это возможно, так сразу понятно стало как…
И сразу куча объяснений как и почему…
Когда кто-то умный додумался использовать XSS для накачки ссылочного, и потом метод стал известен, то тоже все было понятно «ну конечно это же потому-то и тому-то… очевидно»…
Когда Адвего скопировали у меня «семантический! анализатор, то это все тоже было очевидно… Ведь были сотни таких же сервисов, в общем то кроме „водности“ ничего нового там и не было. А то какие показатели читать/выводить и как их оформить — ну так когда уже есть готовое решение то оно ведь очевидно, что именно так правильно а не иначе. (По себе знаю — когда у тебя нет технологий, но есть чужой продукт который работает, то просто написав на него ТЗ и чуть доработав сделать проще, чем когда у тебя технологии есть, а вот как оно должно выглядить нет)

Все правила придуманные после это не правила…
Вот когда контакт „копировал“ интерфейс фейсбука, то там были определенные правила, которые более-менее стандартны, а не чисто для кейсов ВК/фейсбук. Это и цветовая гамма, и разделение функциональных блоков, и сайдбар… И структура социалок к тому моменту уже была более-менее отработана, и не была уникальной у фейсбука…
Когда дядю Васю ломают через SQL-инъекцию в рефферер, то тут таки да, есть правила: будь осторожен с входными данными, даже если это нестандартный источник, фильтруй вход базы, а не надейся на фильтр входных данных, и т.п.

Вот собственно и хотелось бы обсудить какие есть общие рекомендации. Какие уроки мы можем вынести из этого феерического фейла?
Мысли у меня пока сумбурные:
1 — Суперкончерватизм с чувствительными данными — работает, не трогай. Не помнишь зачем это устрожение, но с ним не ломают уже десять лет? Оставь, пусть это и паранойя.
2 — У всего, даже очевидного, должна быть НАРИСОВАННАЯ структура, и никаких изменений в реале пока нет измененной структуры на макете… ДАЖЕ ОЧЕВИДНЫХ ИЗМЕНЕНИЙ…

Собственно вокруг второго пункта думаю надо думать… Ведь тут на лицо именно накопление мелких, в сущности по отдельности правильных решений, но когда сделали merge этих изменений получилась кака…

ПЫСЫ: Когда писал подумалось: А что если оно так и было? Оба изменения делались независимо и одновременно… они были тщательно описаны и протестированны. С полным кейсом, и с задумчивым ПМ курящим бамбук над каждой формочкой и представляющим себя пользователем или хакером… Но когда их объединили тест был банальный, механический юнит-тест на целостность старого и собственно функционирование нового…
0
shr, #
Не пойму, почему не использовать главное меню Skype — Изменить пароль, а идти куда-то на сайт, который найти надо, и получать маркер в клиент? Не вяжется.
+2
wowkin, #
Играем с друзьями в «Account Conquest», захватываем акаунты один у другого.
0
ishaba, #
разве не пофиксили?
0
Meliborn, #
Как вообще к этой техподдержке обратится? Я покупал раз кредиты, но через форму отказывается принимать данные, ругаясь на fistname, lastname и country?

0
Rena4ka, #
Сегодня ночью чуть не угнали скайп, в 8:30 пришло два письма на мыло, что «Добро пожаловать в Skype!» (на разные мыла, не знали, какой точно используется, видимо) и логины username.username и username.username1. Ничего о баге тогда не знали, все что додумались предпринять — быстро сменить от этих двух новых логинов пароли. К счастью, скорее всего долбился очередной школьник и идти дальше не стал, потому что списав это на бота или на то, что кто-то хотел представиться не собой, пошли спать, а сейчас вот такое обнаружили. Пока меняли почту, уже баг прикрыли…

Спасибо хабру за инфу.
+6
Rena4ka, #
Добавьте в UPD к статье, что баг уже полностью пофикшен и ключ для смены пароля приходит ТОЛЬКО на email.

Хотя лично моё мнение, человек, который сгенерировал идею привязывать что угодно к email без подтверждения самого email pаслуживает звания «Дегенерат года». Это годится только для сайтов вроде ололоша.юкозе.ру, но уж точно не для многомиллионного проекта и M$. Именно это — баг, который необходимо исправить, а не только сделать, чтобы ключ не приходил куда не надо.
+1
Kiborg777, #
Согласен. В дополнение, идея привязывать один и тот же mail к нескольким аккаунтам (даже верифицировав этот mail)- тоже далеко не самая лучшая. Создает много проблем в поддержке системы, а преимущества далеко не очевидны.
+1
Rena4ka, #
Тоже поддерживаю. Лично я не могу представить, зачем мне бы понадобилось несколько аккаунтов скайпа, а если бы понадобилось — последнее, что пришло бы мне в голову, что их можно зарегистрировать на один email.
0
Kiborg777, #
Два аккаунта могут понадобиться — один для дома, другой для работы, но привязывать два аккаунта к одному еmail-у — это как минимум странно.
0
ozver, #
Для создания корпоративных аккаунтов, к примеру.
0
SPectr, #
Баг пофикшен, а скайп черт восстановишь.

Только что сидел около часа общался с саппортом скайпа.

Они меняют мейл, но в течение 3 минут кто-то меняет мейл обратно. И так раз 5 пробовали на разные мейлы. На разных компьютерах пробовали, думали может вирус где. При этом ни одна почта не взломана и везде в журнале посещений мой IP. Антивирусами все проверяли, файрволл стоит.

Зная пароль и почту на которую изменили, разве можно установить свою почту?

Есть конечно 1 выход. Сразу как только поставят новую почту, мигом запросить маркер и поставить пароль.

Пока заморозили аккаунт, до завтра. когда будет снят лимит на отправку восстановления пароля, сказали еще написать, попробуем.
Жутко я им надоел, сто раз извинился, и не знаю что делать, может и правда я где-то кейлоггер подхватил.

Но Если бы тащили пароли, то тащили бы от всего. А тут только скайп, все остальное не тронуто.
0
Rena4ka, #
Есть конечно 1 выход. Сразу как только поставят новую почту, мигом запросить маркер и поставить пароль.

Только так… Но странно, что кто-то сидит и меняет резко именно вашу почту.
0
agentru, #
Чего странно, на емейл взломщика приходит уведомление — что емейл изменен, взломщик заходит и ставит свой емейл обратно.
0
klikalka, #
Кажется я только что придумал интересный скрипт… Уверен, в интернете есть реализации подобного, надо бы посмотреть и приспособить… Или писать свой.
+1
E_user, #
Ну здрасте, после утрешнего «хака» получил это:
Несанкционированные действия на вашем счете в Skype
Из-за подозрительной активности в качестве меры предосторожности мы временно заблокировали Вашу учетную запись. Мы придаем...
0
Delphir, #
После заполнения формы, которую они предлагают для разблокировки — в аккаунте висит надпись, что запрещены финансовые операции. Чтобы что-либо купить — предлагают писать в саппорт.
0
ctajiuh, #
После дружеского хака аккаунт заблокировали, провел процедуру ответа на вопросы типа «когда вы зарегистрировали акканут skype?» Блок не снимают, ибо я восстанавливал пароль сам по email и теперь мне приходят письма типа:

Видеосвязь – это счастье всегда быть рядом…

Здравствуйте, XXX!

Надеемся, что Skype дарит Вам одно удовольствие. Знаете ли Вы, что Вы можете совершенно бесплатно общаться по видеосвязи с другими абонентами Skype?..

Отличная работа!
0
doubt, #
Зачем так это можно не читать много это было лень удалять — проще зачеркнуть зачеркнутого текста?
+2
Mendel, #
На момент написания сообщения полная схема была неизвестна.
ТС решил оставить старый вариант для истории. Лично мне было интересно узнать с какого описания все начиналось и как потом схема была дополнена до рабочей. Ну и в начале ветки есть немного обсуждений на тему того что это невозможно, работать не будет, зря написали нерабочую схему и т.п. Если оставить только рабочий вариант то написавших можно посчитать неадекватами и заминусовать, хотя они отвечали в чуть другой ситуации…
0
ozver, #
Можно просто дописывать в конце поста.
Иногда люди приписывают короткое UPD i (i — от 1 до бесконечности).
Такое количество зачёркнутого текста всё равно тяжело читать.
0
Mendel, #
На самом деле лучше было старую версию не зачеркивать а под спойлер засунуть, но не всегда думаешь о таких нюансах.
0
Nike0, #
Это я один такой везунчик, или у всех форма связи с саппортом не работает?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Лучшее за 24 часа
Проблемы роста в IT бизнесе
Microsoft отказывается от ограничений DRM в приставке Xbox One
Инструкция по выживанию для штатного системного администратора
Взлом аккаунта и юникодные символы
Я делаю свой квадрокоптер. Часть 1. Уравнения динамики
Реальные заказы микроконтроллера Virt2real (Виртурилки)
Некогда объяснять!
Torchlight бесплатен для загрузки на GOG.COM в течение двух дней
Microsoft заплатит за поиск уязвимостей в Windows 8.1 и IE 11
Google признала, что головоломки на собеседованиях бесполезны
все лучшие
Похожие посты
Кто лучше: хакер или аналитик безопасности...? 06.06.2013
Skype и Lync – есть контакт! 30.05.2013
Skype — Да, мы читаем все, что Вы пишете 19.05.2013
Skype просматривает содержимое ссылок отправленных в чате 18.05.2013
Проблемы безопасности в сетевых устройствах ZTE 17.05.2013
Идеологическая уязвимость, атака на пулы майнинга криптовалют 01.05.2013
Aerospace и техника безопасности 12.04.2013
Конкурс уязвимостей, или Ломай меня полностью! 08.04.2013
Новая уязвимость позволяет обойти экран блокировки в iOS 6.1.3 21.03.2013
Уязвимость Skype позволяет определить IP-адрес конкретного пользователя 04.12.2011
Прямой эфир  посты  q&a
darthsliderОдалживание цифровой версии игр 81
limБесплатный ремонт техники 74
sharaРеальные заказы микроконтроллера Virt2real (Виртурилки) 85
AnViarПрезентация Lumia 925: быстрый обзор и сравнение с Lumia 920 6
MaironMicrosoft отказалась от покупки Nokia 18
SirionTorchlight бесплатен для загрузки на GOG.COM в течение двух дней 53
VolChОбщественное обсуждение проекта ГОСТ по защите оцифрованных видеоданных от случайного и преднамеренного искажения 31
UnglaЯ делаю свой квадрокоптер. Часть 1. Уравнения динамики 76
savostinОчки для защиты лица от распознавания 7
ginkageSamsung GALAXY Tab 3: 7", 8" и 10" третьего поколения 27
все посты
Хантим
Техлид
PHP-разработчик (backend)
Дизайнер
Web-технолог/Front-end разработчик → Рекрутинговое агентство Jacht
Менеджер по работе с партнерами → LinguaLeo
JS / Frontend мастер → LinguaLeo
PHP - мастер → LinguaLeo
Ведущий разработчик (Unity3d)
Серверный Программист (Java)
Программист php
все вакансии
Модифицировать скрипт обработки изображения на jQuery/js
CPO-продвижение (оплата за оформленный заказ) в интернет-магазин
Доработка карточки товара opencart
Дизайн дисков и обложек
Ищем программиста на MODx
Долгосрочная удаленка - рекламный проект на базе Open X
Долгосрочный проект сайта услуг на Symfony 2
Продвижение интернет-магазина
Разработать логотип для сайта
Сайт на Modx, подключить плагины
все заказы
Ближайшие события
21
июн
Бесплатный вебинар «Пять секретов оптимальной настройки цифровой АТС Cisco UCM»
21
июн
«Ночь оживших карт» – картографический марафон от Теплицы и OpenStreetMap
22
июн
UXcamp Минск 2013 конференция по юзабилити и UX
22
июн
ProfitFest 2013 — Фестиваль работников интернет-торговли в Самаре
22
июн
Kharkiv JavaScript Conference
все события
Google Glass в действии (видео)
Google Reader закрывают
Окрашивание изображений
Заказы для фрилансеров
Все мозги в одном месте
Вакансии для айтишников
Уютная и дружелюбная