Уязвимость в skype, позволяющая угнать любой аккаунт



    Месяца три назад я писал об этой критической уязвимости в skype support, но она до сих пор не исправлена (уже исправлена).

    Сразу скажу, что саму уязвимость я целиком не знаю(уже известна), но в последнее время начались массовые угоны аккаунтов.

    Для реализации атаки необходимо лишь знать логин скайпа и e-mail жертвы.

    Proof-of-Concept я не знаю. Но делается по достаточно незамысловатой схеме:
    -Регистрируется новый скайп на e-mail жертвы.
    -Запрашивается восстановление пароля скайпа на этот e-mail.
    -Меняется e-mail на зарегистрированном скайпе.
    -Дальнейшие действия мне не известны, то ли маркер пароля опять восстанавливается на уже подконтрольную злоумышленнику почту, то ли еще что-то, в итоге злоумышленник меняет пароль от вашего основного скайпа через маркер пароля который пришел на его почту, маркер то ли остается такой же, то ли еще какая-то хитрость тут присутствует.


    Proof-of-Concept ( копирайт forum.xeksec.com/f13/t68922/#post98725 )
    1. Регистрируем новый скайп акк на мыло жертвы (там будет написано типа на это мыло уже кто-то зареген). Не обращаем внимания — заполняем дальше.
    2. Логинимся в скайп клиент
    3. Удаляем все куки, идём на login.skype.com/account/password-reset-request вбиваем мыло жертвы.
    4. В скайп приходит уведомление
    image


    6. Переходим по ссылке и видим мыло жертвы и списки логинов зарегистрированных на это мыло. Свой логин тоже видим.
    7. Выбираем логин жертвы и меняем пароль
    8. PROFIT

    На почте жертвы письма появляются примерно в такой последовательности(партнеры и знакомые прислали скриншоты своих почтовых ящиков после взлома):



    И еще другие примеры:
    http://screenshot.ru/html/11.14.12_01:53:00_d0de803b.html
    http://screenshot.ru/html/11.14.12_01:52:44_ecfe3230.html
    http://screenshot.ru/html/11.13.12_23:00:43_210be0fe.html
    http://screenshot.ru/html/11.13.12_23:06:50_48247500.html
    http://screenshot.ru/html/11.13.12_23:10:36_64dafe3f.html

    Если Вам приходили подобные письма — повод насторожиться!

    Единственный способ защититься на данный момент это зарегистрировать новый никому не известный e-mail адрес и сменить через сайт скайпа основной e-mail аккаунта на новый.
    Внимание! Сменить через саму программу skype основной e-mail нельзя! Только через сайт!

    За последнюю неделю 10 человек только из моего контакт листа взломали с помощью этой уязвимости.
    Я хочу предупредить всех как можно быстрее обезопасить себя, так как пока что Microsoft не принимает никаких действий, позаботьтесь о своей безопасности сами.

    UPD
    Появился способ(PoC), как использовать уязвимость:
    http://forum.xeksec.com/f13/t68922/#post98725

    UPD2
    Официальный комментарий от представителя Skype:
    Мы получили сообщения об уязвимости в системе безопасности Skype. В целях безопасности наших пользователей мы временно отключили функцию сброса пароля, также мы продолжаем дальше исследовать этот вопрос. Приносим свои извинения за неудобство, безопасность наших пользователей является нашей первоочередной задачей.
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 400
    • +15
      Пару часов назад я опубликовал это сообщение на xeksec, но так как начали интересоваться на хабре, то сделал кросспост и сюда.
      • +1
        Попробовал зарегистрировать новый скайп на свой мейл:
        Вы уже зарегистрированы в Skype.
        Мы можем выслать вам по электронной почте ваш логин Skype, и после этого вы сможете выбрать новый пароль. Если же вы хотите зарегистрировать новый логин Skype, продолжайте заполнение этой формы.
        Как тогда работает первый пункт:
        Регистрируется новый скайп на e-mail жертвы.
        • +3
          > Если же вы хотите зарегистрировать новый логин Skype, продолжайте заполнение этой формы.

          Это разве не ответ?
          • 0
            Нет, потому что я все заполнил, все поля отображаются черным:

            Скриншот
            image

            И все равно вижу такую картину (e-mail удалил):

            Скриншот
            image

            • 0
              У меня только с 5 попытки получилось нажать «ок», чтобы все сработало…
          • +1
            На мой старый почтовый адрес регестрировали Skype ID все косу не лень, я так и не понял почему. Может у вас аккаунт связан с Live ID?
            • 0
              Да с учеткой майкрософт пробовал заходить, возможно, вы правы.
              • +1
                На мою почту зарегистрировано несколько незнакомых мне аккаунтов в Skype — раньше думал, что это однофамильцы регистрировали.
                • 0
                  У меня почтовый адрес состоит из фамилия@домен и я тоже так думал, только в профилях у этих пользователей фамилии отличаются от моей.
            • –32
              чёрный пиар такой чёрный
              • 0
                На 8 дней минимум опоздали…
              • 0
                А по ссылкам в письмах ходили? Пароли не вбивали случайно там, может это снифинг был?
                Если ходили, то надо смотреть RFC заголовки писем.
              • 0
                По схеме получается, что злоумышленник должен не просто знать e-mail, но и иметь к нему доступ? Или я что-то не понял?
                • +5
                  Просто знать e-mail адрес на который зарегистрирован скайп, доступ к нему конечно же не нужен:)
                  • +3
                    Чтобы получить доступ к аккаунту нужно или пароль знать, или мыло. Ну, он воспользовался формой и на мое мыло выслали форму восстановления пароля, и что дальше? Мыло мое, доступа к мылу у злоумышленника нет, он там что, бубном взмахивает и заходит астрально по ссылке?
                    • +11
                      Токен для восстановления пароля присылают не только на почту хозяина аккаунта, но и в скайп-клиент злоумышленника.
                      Всё работает, проверено.
                      Минусующие верхние комментарии, спуститесь вниз — там уже куча народу проверило и отполировало технику.
                      • 0
                        С каких пор токены присылают прямо в скайп? о_0
                        • +1
                          Для удобства. Наверное, нововведение Микрософта.
                          • 0
                            Вот здесь с иллюстрациями.
                            • +6
                              С тех пор как скайп купила Microsoft?
                              Блин, мне аж самому противно от такого шаблона, но как есть :)
                      • 0
                        Достаточно знать. Меняем мы мыло уже на вновь зарегестрирванном скайпе.
                        • –6
                          И чо дальше?
                          • 0
                            • –2
                              И чо дальше?
                              • 0
                                я понятия не имею. и вообще все как-то сомнительно…

                                может быть намекают на эту часть?

                                Я больше не пользуюсь адресом электронной почты, указанным мной при создании учетной записи Skype, при этом я пользовался (пользовалась) хотя бы одним платным продуктом Skype
                                Если вы в прошлом оплачивали продукты Skype, однако больше не используете адрес электронной почты, указанный вами при регистрации, обратитесь в наш отдел обслуживания клиентов. Сообщите специалистам отдела свой новый адрес электронной почты, чтобы они могли зарегистрировать его в Skype. После того как вы получите уведомление о том, что ваш зарегистрированный адрес электронной почты изменен, выполняйте инструкции выше, чтобы восстановить свой пароль.

                                других способов без доступа к почте владельца аккаунта я там не вижу
                                • +17
                                  Судя по описанию, дальше по классической схеме:
                                  3. ????? (дальнейшие действия мне не известны)
                                  4. PROFIT!
                              • 0
                                А дальше, насколько я понял, какой-то магией мы получаем восстановление пароля от другого акка на наше мыло. Или еще что-то, не очень понял.
                                • +2
                                  Не на мыло, а в программу-клиент.
                          • –36
                            Майкрософт? Что-то я не помню, чтобы такие дырки были у них раньше.
                            • +19
                              То есть Вы тестировали эту уязвимость раньше и раньше её не было?
                              • –32
                                Нет, я и скайпом-то не пользуюсь. Я к тому, что всякая штука в скайпе посыпалась почти сразу же после того, как ms поубивала p2p и утащила всё на свои сервера.
                                • +16
                                  Мне не совсем понятно, как уязвимость в восстановлении пароля пользователя на е-мейл может быть связана с переходом от peer-to-peer на серверный backend. Вы не объясните?
                                  • +2
                                    Ну например криворукостью программеров, «забывших» стребовать конфирмейшн при миграции?
                                    • +2
                                      Миграции чего??
                                      Account management и раньше не был peer-to-peer, как и восстановление пароля — все работало через веб.
                                      • 0
                                        Миграции бизнеса под MS, например. Или вы думаете MS просто отвалила 8 ярдов и сказала «пусть всё будет по-старому»?
                                        • 0
                                          Понятно, что инфраструктура Skype будет интегрироваться Майкрософтом в свои инфраструктуры. Так, например, доставка сообщений уже не является p2p процессом, а для этого используется backend на тех relay-серверах, что раньше использовались для windows messenger. Благодаря этому, например, стало можно получать сообщения, посланные офф-лайн и читать архив сообщений.

                                          Но если взять именно ту часть системы, которая была исходно в Skype для работы с данными пользователя, то она и раньше была не p2p, а значит необходимости в миграции здесь не было изначально. Да, можно предполагать, что эта часть функционала могла быть переписана в плане улучшения и это привнесло уязвимость — но это просто предположение, ничем не подкрепленное, как и предположение о «криворукости программистов».

                                          Используя теорию вероятности, вероятность того, что оба эти предположения верны является произведением вероятности обоих предположений, что делает данный сценарий очень маловероятным в моих глазах и заставляет рассматривать Ваше предположение как попытку троллинга.
                                          • 0
                                            Учитывая что вы используя теорию вероятности, основываясь исключительно на своих фантазиях, умножьте своё предположение где-то на 0.0000000001.

                                            А вот первые просьбы «занять 500-600 рублей на яндексбабки, бро», уже пошли.
                                  • 0
                                    Чем пользуетесь?
                              • +2
                                Да ладно, а как же Hotmail?
                                • +1
                                  У них — это у скайпа. И до покупки MS. Про «безопасность» MS мы все помним со времён autorun.inf и ActiveX.
                                  • –3
                                    Хм, а в чем тут проблема Майкрософт?
                                    По моему обе технологии исходно были «небезопасными» и каждому, кто их использовал, это было понятно.
                                    Но ActiveX был очень удобным в ту эпоху, когда веб-приложения использовали Ява-Скрипт только для запуска ActiveX…
                                    • 0
                                      Неправильно вас понял, подумал что у них — это у MS.
                                      Про — скайп сложно сказать, учитывая суровую анальную оккупацию кода и протокола, шифрование всего и вся и жуковатость авторов скайпа; полне может оказаться что в программе есть «жучки» и в один прекрасный день все компьютеры превратятся в зомби, ну или в тыкву, как захотят какие-нибудь плохие ребята.
                                • +2
                                  Автор, откуда сведения о последовательности действий? Как-то туманно все.
                                  • +2
                                    Собственно у меня у самого скайп уводили таким способом, плюс у многих моих партнеров и клиентов тоже происходило подобное.

                                    Вот еще несколько скриншотов с почтовых ящиков жертв(мной бага в первый раз была замечена летом):
                                    http://screenshot.ru/html/11.13.12_23:00:43_210be0fe.html
                                    http://screenshot.ru/html/11.13.12_23:06:50_48247500.html
                                    http://screenshot.ru/html/11.13.12_23:10:36_64dafe3f.html

                                    Естественно скриншотов с почты злоумышленника нет, о том что происходит дальше — можно только догадываться.
                                    • –1
                                      у меня у самого скайп уводили таким способом

                                      Как удалось вернуть свой аккаунт?
                                      • +1
                                        Это был скайп для мобильного(отдельный аккаунт), мыло там не стали менять, видимо ничего интересного не нашли, кроме переписки с моими друзьями. Поэтому без проблем восстановил пароль от него, после сменил e-mail.
                                        • +4
                                          Мне кажется в конце вашего поста не хватает текста «РАЗОШЛИ ЭТО ВСЕМ СВОИМ ЗНАКОМЫМ»
                                          • –3
                                            «ИНАЧЕ ТВОЙ СКАЙП УМРЕТ В ТЕЧЕНИЕ 10 ДНЕЙ». Да, что-то слишком мутная схема, да и такую уязвимость на этапе разработки не могли не заметить.
                                            • 0
                                              А строчкой выше «Для того чтобы защитить свой скайп нужно просто отправить смс с логином на номер ХХХХ, смс бесплатна!».
                                              • +2
                                                ...«с логином и e-mail'ом»…
                                    • +2
                                      Чувствую, если не добавят нормальную последовательность действий или описание процесса закидают какашками минусами)
                                      • +4
                                        >Внимание! Сменить через саму программу skype основной e-mail нельзя! Только через сайт!
                                        На сайте можно только ещё одно мыло добавить, сменить primery мыло или удалить вообще, у меня что-то не получается. Это у меня руки кривые или там какая-то хитрость?
                                        • +3
                                          Из линуксовой версии скайпа мыло менять даёт, но на сайте ни черта не меняется. Только зря поле Last Name (раньше не было обязательным) заполнил.
                                          • 0
                                            Last name можно удалить из самого скайпа (линуксового), кстати, только что проверил.
                                            • 0
                                              На сайте можно просто вбить что-нить типа "~~~~"
                                          • +4
                                            Там криво всё. Добавляете еще один адрес, сохраняете. ф5. нажимаете «добавить ещё мыло» и справа появится круглая штука которой можно установить праймари мыло, а старое удаляете. Сохраняете.
                                            • +5
                                              Вот да, уже сам нашел. После сохранения профиля тыкается на «добавить ещё мыло» и тогда появляется выбор главного мыла.
                                              Дизайнеру интерфейсов там у них нужно по башке надавать, а то в плитки всё переделали, а юзабельности нету.
                                            • +5
                                              1. Добавляем новое мыло, save
                                              2. Жмем make primary, save
                                              3. Удаляем старое мыло, просто удаляем текст из строки, save
                                              • 0
                                                На втором пункте удаляет которое должно стать новым Primary.
                                                • 0
                                                  Удаляет? Странно, у меня два было, потом одно из них стер.
                                                  • 0
                                                    Это вы пароль ввели неправильный. Сам только что бодался с их чудо-сайтом.
                                                    • +4
                                                      Нельзя нажимать Enter после пароля. Надо нажимать кнопку мышкой.
                                                      Вот такое там usability.
                                                • –5
                                                  Сейчас менял основной адрес электронной почты, появилось окошко с просьбой ввести пароль, это значит, что дыру прикрыли?
                                                  • +4
                                                    А был ли вообще мальчик?
                                                    • 0
                                                      Кстати да, у меня несколько аккаунтов скайпа на одном мыле, при смене оного, соответственно, один за собой остальные не потянул.
                                                      • +5
                                                        еще как был. только что взломал собственный аккаунт…
                                                        • 0
                                                          Тогда было бы хорошо увидеть нормальную последовательность действий :-) В исходном посте только одни догадки и недомолвки.

                                                          ps: в вашем сообщении внизу скрин страницы скайпа, а как получить ссылку на эту страницу-то?

                                                          «Когда переходите по ссылке восстановления пароля» — откуда её взять?
                                                          • +4
                                                            Переработал на сегодня. ;) Ссылка то действительно пришла на почту, к которой у меня есть доступ. Прошу прощения за панику
                                                            • 0
                                                              А ещё токен приходит в тот скайп, который мы зарегали на чужой email.
                                                              • 0
                                                                Токен то приходит, но вот когда нажимаем на него, совсем ничего не происходит…
                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                      • +1
                                                        А вы чем читали?
                                                        • –3
                                                          Простите, но что Вы имеете в виду? Я что-то делаю не так? С радостью выслушал бы Ваше мнение.
                                                      • –49
                                                        Не использовал скайп уже наверное пол года, наверное уже взломали. Хотя кому я нужен.
                                                        В последнее время использую только в гугле и в вк переписку. Если что и там и там в общем то есть звонки с видео. В гугле даже получше скайпа (конференции бесплатные)
                                                        • +43
                                                          Спасибо, очень ценная информация.
                                                          • –2
                                                            Прям круговорот кармы на хабре. Просто написал свое мнение о том, что скайп уже не так уж и нужен как он был нужен года 2 тому назад и мс купил уже несколько не инновационный продукт.
                                                            Также как я понимаю вскоре скайп полностью вольется в инфраструктуру мс и растворится в ней. А если честно я особо не знаю людей, которые так уж тесно используют их сервисы. Вот у гугла хорошая ситуация, их почту (не уверен, но вроде самый популярный почтовик) много кто использовал еще до андроида (самая популярная мобильная ОС), а многим нравится использовать историю поиска (самый популярный поисковик) например или синхронизацию вкладок и закладок в хроме (самый популярный браузер). Вся эта квинтэссенция популярных сервисов и ПО объеденяет практически всех людей интернета в общую сеть. С ростом G+ у скайпа не останется никаких шансов.
                                                            Даже например видя у человека смартфон на андроиде можно быть на 100% уверенным, что у него есть гугл акк и можно ему позвонить с использованием видео-аудио связи через интернет.
                                                            Также поиск гугла используется у людей больше всего, то есть фактически если доинтегрировать G+ в гугл, то человек будет почти все время онлайн. С любого компа где он зайдет в гугл. С MS такие фокусы не пройдут.
                                                            И вот надо было меня из-за этого комментария лишить возможности комментировать чаще чем раз в час.
                                                            • +1
                                                              С ростом G+ у скайпа не останется никаких шансов


                                                              image
                                                              • 0
                                                                Совет — никогда не обсуждайте карму. Особенно никогда не говорите, что она несправедлива. :)

                                                                В данном случае ошибочность утверждения в том, что де-факто очень много конфиденциальной переписки идет в скайпе. Ущерб от такого дикого взлома реально исчистяется миллионами если не десятками миллионов.
                                                                Ломается всё, но когда цена взлома чувствительной информации падает до нуля это катастрофа.
                                                                А вы озвучили это пренебрежительно.
                                                                Минусуют, как в жизни так и на хабре за две вещи — за суть и за форму. С формой у вас совсем жопа (у меня тоже проблемы с этим, ничего личного :)) С сутью — хз…
                                                                • 0
                                                                  С сутью не меньшая жопа. В целом ошибка в том, что, здесь, в этом топике обсуждают проблему взлома скайпа. Ни его популярность (огромную), ни перспективы G+ по его вытеснению (сомнительных) а просто уязвимость, серьезную.
                                                                  Данный комментарий характерно напоминает попытку похоливарить, слабую и неуместную. За это и слили. Так почти всегда происходит, когда в топик про MS приходит оголтелый линуксоид, или наоборот. Или в блоге MySQL написать, что оракл круче, или в топике про фичи iOS написать что говно ваш iOS по сравнению с Android. Ничего личного.
                                                        • 0
                                                          Господа, описанный метод работает и еще как! Когда переходите по ссылке восстановления пароля, сайт предлагает выбрать ЛЮБОЙ аккаунт, который зарегистрирован на ваш e-mail! Скрин прилагаю. Только что успешно взломал сам себя.

                                                          • 0
                                                            Мозг, сам себя взломал…
                                                            • +44
                                                              Взломай меня:

                                                              логин: zhovner
                                                              мыльник: pavel@zhovner.com

                                                              В противном случае постишь фото себя без одежды.
                                                              • +23
                                                                » фото себя без одежды.
                                                                Мсье знает толк в извращениях.
                                                                • +3
                                                                  Вы заходите, пишите что-нибудь хоть раз в пять минут, а то боязно ;)
                                                                  • +4
                                                                    Да не прокатит, там количество запросов маркера пароля превысило лимиты.
                                                                  • +2
                                                                    Сколько учёток на ваше имя уже завели?
                                                                    • 0
                                                                      Sorry but due to security reasons you are limited to the number of temporary codes received each day.
                                                                      You have have reached that limit today, Please try again in 24 hours.
                                                                      • +3
                                                                        Таким нехитрым способом можно обезопасить себя на 24 часа :)
                                                                      • +1
                                                                        Так взломали или нет?
                                                                    • +1
                                                                      Гениально! И с ЛЮБОГО аккаунта прийдет письмо на мое мыло, которое мое и хрен кто это письмо увидит, откроет и перейдет… Не вяжется никак.
                                                                      • 0
                                                                        Я думаю дело в том, что ты взломщик изменит мыло на свое, а код придет тот же самый. То есть привязка акков останется, хотя мыло и изменится. В итоге можно все акки с того мыла сломать.
                                                                        • 0
                                                                          1. регимся на мыл с новым сн
                                                                          2. меняем праймари мыло на новом сн, теоретически оно же меняется для остальных зарегеных.
                                                                          3. восстанавливаем пароль для остальных.
                                                                          как-то так?
                                                                          • 0
                                                                            теоретически оно же меняется для остальных зарегеных
                                                                            Не меняется, в том-то и дело.
                                                                            • –1
                                                                              Мыло не меняется вообще, ибо, чтобы сменить мыло зареганого аккаунта, нужен доступ к этому самому мылу. А зарегать новый аккаунт — подтверждение тоже нужно, что мыло принадлежит зарегистрировавшему.
                                                                            • –1
                                                                              Чтобы сменить мыло нужно подтверждение с этого самого мыла либо пароль(обычно пароль не прокатывает, так делают специально, делая мыло «последней линией защиты»). Не прокатывает.
                                                                              • 0
                                                                                Чтобы сменить мыло на только созданной учётке, нужен пароль от неё, который мы сами придумали её заводя.
                                                                          • +5
                                                                            Переработал на сегодня. ;) Ссылка то действительно пришла на почту, к которой у меня есть доступ. Прошу прощения за панику.
                                                                            • 0
                                                                              Только что проверил, сейчас уже нельзя выбирать Skype Name. Так что bug fixed?
                                                                            • +2
                                                                              В студию:
                                                                              1) полный код писем, особенно заголовки, изображения и ссылки
                                                                              2) OS владельцев угнанных аккаунтов

                                                                              Особенно интересует, что это за письмо, которое начинается с маленькой буквы и со ссылки на api.skype.com. Пока похоже на стандартную разводку лохов, которой сто лет воруют аккаунты на всём подряд от почты до жж и блоггера (на такой же штуковине попадались г-да Мавроди и Навальный).
                                                                              • +11
                                                                                Не понимаю, что здесь происходит?
                                                                                Никаких доказательств, а топик в большом плюсе.

                                                                                • +2
                                                                                  • 0
                                                                                    А вот и доказательства пошли и внятная инструкция.

                                                                                    Учитывая, что история переписки подгружается, это просто кошмар.
                                                                                  • –5
                                                                                    Бред какой-то.
                                                                                    Как они без доступа к ящику жертвы могут сменить пароль?
                                                                                    • +2
                                                                                      Похоже сейчас функция восстановления пароля скайпа сломалась. Ни на одно из 2х акков не приходят письма.
                                                                                      • +1
                                                                                        Причем другие письма приходят.
                                                                                        Т.е. если сменить e-mail, то придет «Зарегистрированный адрес электронной почты успешно изменен». А вот маркер пароля не приходит никуда.
                                                                                        • +3
                                                                                          Подтверждаю. Возможно уязвимость всё же было и её как раз лечат.
                                                                                          • 0
                                                                                            Маркер пароля приходит в клиент скайпа. Только вот ссылки там недоступны сейчас.
                                                                                        • +2
                                                                                          Посмотрел ваши предыдущие статьи. Чувствую, в следующей вы ограничитесь «А-А-А! Мы все умрём!» и соответствующей картинкой. Простенько и со вкусом.
                                                                                          • +5
                                                                                            Появился способ как использовать уязвимость:
                                                                                            forum.xeksec.com/98725/post4/
                                                                                            Проверено, работает.
                                                                                            • +2
                                                                                              Сделайте апдейт в самой новости, будет виднее. Да и слитую карму (как я подозреваю, мне даже за qa минусов навалили) вам восстановят :-)
                                                                                              • +1
                                                                                                Уже отписал, уязвимость кстати именно в том что на вторую почту не приходит маркер пароля, а приходит именно в skype-клиент, где висит доп.почта Ваша:)
                                                                                              • 0
                                                                                                Шаг №2, по-моему, не нужен, т.к. код для сброса пароля приходит прямо в скайп.

                                                                                                ПС Только что проверил, действительно работает.
                                                                                                • 0
                                                                                                  Попробовал дважды, маркер не пришел. ЧЯНДТ?
                                                                                                  • 0
                                                                                                    Подожди пару минут? Мне не сразу пришел.
                                                                                                • +4
                                                                                                  Подтверждаю, работает.
                                                                                                  • +8
                                                                                                    т.е. чьёто фото без одежды мы не увидим?
                                                                                                • +2
                                                                                                  Кому слабо support@microsoft.com ?)
                                                                                                  • +1
                                                                                                    bill@microsoft.com :)
                                                                                                    • +3
                                                                                                      А было бы неплохо со скайпа Билла сообщить Балмеру что он уволен :)
                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                    • +2
                                                                                                      Да уж, топик месяца однозначно.
                                                                                                      • +2
                                                                                                        Попап уведомление о токене всплывает, но токена нигде не найти.
                                                                                                        • 0
                                                                                                          Только что проверил, уведомление в скайп приходит (в фейк-аккаунт новый), но при клике на него окошко просто исчезает и текста с ссылкой не видно.
                                                                                                          Смысл такого уведомления?

                                                                                                          Пробовал 3 раза:
                                                                                                          1. Кликнул — исчезло
                                                                                                          2. Попробовать потягать, покликать по заголовку, пытался сделать скрин — не успел и оно по таймауту исчезло
                                                                                                          3. Кликнул — опять исчезло
                                                                                                          • +13
                                                                                                            Чтобы увидеть уведомление:
                                                                                                            1. В скайп клиенте заходим на главную страницу.
                                                                                                            2. Кликаем ф5 пока не увидим инфу про фейсбук
                                                                                                            3. Закрываем инфу про фейсбук снизу
                                                                                                            4. Видим инфу о маркерах.
                                                                                                            5. PROFIT
                                                                                                            • 0
                                                                                                              Спасибо!
                                                                                                              • +1
                                                                                                                а Маке не работает (пункт 4)
                                                                                                              • 0
                                                                                                                Пипец, работает, угнал скайп друга, доступа к почте не было.
                                                                                                                • +10
                                                                                                                  Это работает уже очень давно:(
                                                                                                                  Но реализацию самой уязвимости я только что прочитал на форуме хеки, догадались после моей статьи.
                                                                                                                  Я еще летом писал в саппорт скайпа, но точного описания уязвимости у меня тогда не было, только то что в статье сейчас зачеркнуто, то я им и писал. Ответа, конечно от них никакого не пришло. Наверно просто проигнорировали…

                                                                                                                  За последнюю неделю сломали очень много моих партнеров\клиентов\знакомых в скайпе(и утекли конфиденциальные переписки), как еще достучаться до microsoft'a я не знаю, поэтому создал топик на хабре, но сейчас уже смысла удалять топик особо не вижу, в твиттере уже есть записи, в фейсбуке и т.д. Ничего от этого уже не изменится…
                                                                                                                  • +7
                                                                                                                    Всё правильно сделал!
                                                                                                                    Только стресс, только хардкор! =)
                                                                                                                    • 0
                                                                                                                      и утекли конфиденциальные переписки

                                                                                                                      А разве переписка хранится на сервере?
                                                                                                                      Тут пишут что нет community.skype.com/t5/Security-Privacy-Trust-and/Is-chat-history-stored-on-Skype-servers/td-p/472379
                                                                                                                      • +8
                                                                                                                        Переписка скачивается прямиком с компьютера собеседника.
                                                                                                                        • 0
                                                                                                                          и ещё бонус — если залогинен с двух компов, то на оба (то есть три?) компа приходят все сообщения.

                                                                                                                          Есть скайп и мейл кого-нибудь из МС?
                                                                                                                        • 0
                                                                                                                          А разве переписка хранится на сервере?
                                                                                                                          Тут пишут что нет


                                                                                                                          А тут пишут, что «нет, но… но да».

                                                                                                                          In order to provide for the delivery and synchronization of instant messages across multiple devices, and in order to manage the delivery of messages between clients situated behind some firewalls which prevent direct connections between clients, some messages are stored temporarily on our (Skype/Microsoft) servers for immediate or later delivery to a user.

                                                                                                                          As I have outlined above, if a law enforcement entity follows the appropriate procedures and we are asked to access messages stored temporarily on our servers, we will do so. I must reiterate we will do so only if legally required and technically feasible.

                                                                                                                          То есть они подтверждают, что сообщения проходят через их сервера, подтверждают, что они их записывают, дальше они просят поверить, что это «чисто для вашего же блага, нам самим это не интересно» и что они «удаляют их». Хотя с другой стороны, что значит temporary? Ничто не вечно под луной, так что может и не врут — действительно еще первые сообщения в скайпе у них хранятся, но это временно, лет через 200 сотрут.

                                                                                                                          В общем не очень приятно доверять компании, которая сначала заставляет технологически включить себя в доверенные, которые будут иметь текст переписок, а потом просто успокаивает, что ничего плохого она нам не хочет. Но… просто, пусть переписка будет у нее. Вот, эта ситуация с уводом аккаунта и вместе с тем с уводом переписки — отличный пример, почему все таки не стоит доверять лишний раз, даже если вопрос «зачем скайпу за мной следить?» выглядит очень убедительным.
                                                                                                                    • 0
                                                                                                                      Пытаюсь изменить основной адрес (паранойя, видите ли, новый — guid). Новый адрес, который я пытаюсь сделать основным — удаляет из списка. Основным, соответственно, остаётся старый.

                                                                                                                      В общем топикстартер своего таки добился.
                                                                                                                      • 0
                                                                                                                        Спокойно поменял только что. Вы сначала сохраняйте новый основной адрес, а лишь следующим редактированием удаляйте дополнительный.

                                                                                                                        Но это жесть, конечно. Шаги повторил, на своём втором акке сменил почту, не заходя в старую.
                                                                                                                        Пришлось делать себе рандомный адрес и менять основной.
                                                                                                                        • +1
                                                                                                                          Добавляю почту, жду сохранить.
                                                                                                                          На всякий случай обновляю страницу.
                                                                                                                          Новый адрес есть.
                                                                                                                          Жму «изменить», жму «Сделать основным адресом эл. почты», жму сохранить.
                                                                                                                          Просит ввести пароль, ввожу.
                                                                                                                          появляется «Ваши личные данные были обновлены.» вместо всей страницы.
                                                                                                                          обновляю страницу
                                                                                                                          нового адреса нет.
                                                                                                                          • 0
                                                                                                                            У меня тоже было «Ваши личные данные были обновлены.» вместо всей страницы, когда сохранял по верхней кнопке. Потом повторил по нижней, сработало.
                                                                                                                            Сейчас ещё раз повторил с нижней, нормально сменилось.
                                                                                                                            В хроме всё делал.
                                                                                                                            • 0
                                                                                                                              Уже разобрался, в Опере сайт глючит сильнее, чем в остальных браузерах…
                                                                                                                            • +1
                                                                                                                              После пароля надо по кнопке мышкой нажимать, а не Enter.
                                                                                                                              Тогда меняет.
                                                                                                                          • 0
                                                                                                                            Попробуйте при в вводе пароля жать Enter не на клавиатуре, а кнопку на странице. Чудо-сайт криво работает.
                                                                                                                            • 0
                                                                                                                              Жал мышью, у меня есть такое подозрение, что они нахимичили что-то с хранилищем в браузере. Сейчас попробую через ФФ, сейчас из оперы пытался.
                                                                                                                              • 0
                                                                                                                                Всё, ясно. Мои подозрения оправдались — у мелкософта Опера как всегда работает через заднее место. У меня после любых изменений с паролем в ней слетает адрес на старый и единственный.
                                                                                                                                В ФФ всё работает.
                                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                              • 0
                                                                                                                                Пишется:

                                                                                                                                You already have a Skype account.
                                                                                                                                We can email you a Skype Name reminder and you can reset your password. Or, complete this form to create a new Skype Name.
                                                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                            • 0
                                                                                                                              Жду уже минут 10, эфпячу клиент скайпа, но «Главная страница недоступна». На почту уведомление пришло.
                                                                                                                              • +1
                                                                                                                                Я подтверждаю — работает.
                                                                                                                                • +1
                                                                                                                                  У кого работает — вы тестировали с разных клиентов/рабочих станций, или аккаунты были с одного клиента Skype? У меня не работает — уведомление в скайпе о маркере приходит, но кликнуть по нему не выходит. Нет перехода по дальнейшей ссылке. То есть шаг 5 наступает, а вот к 6 не пройти. Возможно это связанно с тем, что на то мыло, вторичное, оно на нескольких аккаунтах Skype… Тогда в описание надо добавить, что мыло должно быть «чистым».
                                                                                                                                  • 0
                                                                                                                                    Так, а как перейти по ссылке, если ссылки нет. Нотификация в скайпе это не сообщение, только если не нужен какой-то особый старый скайп. На «подставное» мыло ссылка не приходит. Она приходит на примари майл, который мы не контролируем. Значит либо в описании не точность, либо пофиксили, либо фейк.
                                                                                                                                    • +3
                                                                                                                                      В клиент приходит маркер пароля. Содержание этого сообщения можно увидеть в клиенте, на главной странице. У новых аккаунтов там приветствие, поэтому нужно несколько раз нажать F5, после чего пропустить интеграцию с Facebook и увидеть сообщение с кодом для восстановления.
                                                                                                                                      • 0
                                                                                                                                        Обновил топик, укоротил.
                                                                                                                                        Никаких доп. имайлов вводить не нужно.
                                                                                                                                        Просто регистрируем скайп на имайл жертвы и восстанавливаем пароль и всё. Это вся уязвимость, которая работает уже приличное время…
                                                                                                                                        • 0
                                                                                                                                          Это на внимательность 8) Спасибо
                                                                                                                                      • 0
                                                                                                                                        Тоже была такая проблема:
                                                                                                                                        habrahabr.ru/post/158545/#comment_5427761
                                                                                                                                      • +3
                                                                                                                                        Шаги можно сократить, если использовать маркер пароля в клиенте. Куки чистить не нужно (только выйти на сайте), свой email добавлять тоже не надо. Все можно сделать через клиент. Вот это дыра! Кто еще не верит, и не сменил ящик, советую скорее это сделать.
                                                                                                                                        • 0
                                                                                                                                          Да, второе мыло не понятно зачем нужно для этой атаки…
                                                                                                                                        • 0
                                                                                                                                          Алгоритм возвращения аккаунта точно такой же, надо полагать. :)
                                                                                                                                          Да еще и ящик угонщика можно узнать
                                                                                                                                          • +3
                                                                                                                                            Основной email можно быстро сменить и пиши пропало. Свой email добавлять необязательно.
                                                                                                                                            • 0
                                                                                                                                              Ааа ну да, согласен.
                                                                                                                                          • +2
                                                                                                                                            Работает.
                                                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                              • 0
                                                                                                                                                Токен приходит во все клиенты всех аккаунтов, зарегистрированных на этот email.
                                                                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                  • 0
                                                                                                                                                    Я про практику. Приходит не на почту, приходит в скайп-клиент, подключённый к свежезареганному аккаунту, зареганному на мыло жертвы.
                                                                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                      • 0
                                                                                                                                                        Вообще, уязвимость — это когда что-то работает не так как должно, а так чтобы создать проблемы. :)
                                                                                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                • +1
                                                                                                                                                  Кстати, наверное туплю, но как удалить «дополнительные» почтовые адреса, не вижу нигде соотв. пункта?
                                                                                                                                                  • +9
                                                                                                                                                    Редактировать → очищаете поле с ненужным адресом → Сохранить. UX дизайнеру руки оторвать…
                                                                                                                                                    • +2
                                                                                                                                                      Я разобрался. Нужно нажать на кнопочку редактирования и ФИЗИЧЕСКИ стереть адрес из поля. А потом нажать на кнопочку сохранения.
                                                                                                                                                    • –6
                                                                                                                                                      Весьма странно, нафиг вообще уводить скайп-аккаунт)
                                                                                                                                                      • +9
                                                                                                                                                        Читать чужую переписку, различные виды мошенничеств и пр. Не, не слышал!
                                                                                                                                                        • –12
                                                                                                                                                          Ну разве что только для этого.
                                                                                                                                                          • –3
                                                                                                                                                            А как вы прочитаете чужую переписку, если история хранится локально на пк пользователя?
                                                                                                                                                            • +1
                                                                                                                                                              Переписку можно получить из истории собеседника (она же не только на вашем компе хранится, но и у оппонента)
                                                                                                                                                              • –3
                                                                                                                                                                Простите, но я так и не понял.
                                                                                                                                                                Вот, я такой плохой парень, угнал аккаунт у человека N и хочу посмотреть его переписку с господином K, но я не смогу(или смогу?) это сделать, так как данная переписка хранится у N и K на компьютерах. Поправьте, пожалуйста, где я не прав.
                                                                                                                                                                • +2
                                                                                                                                                                  Вы (чисто теоретически) угнали аккаунт у человека N и получили его контакт лист. Из которого у онлайн-контактов M...etc можно скачать и почитать их переписку.