Skype, furto di account con l'indirizzo email

Circa due mesi fa un gruppo di hacker russi ha scoperto un buco di sicurezza in Skype, che permette a un malintenzionato di rubare l’account di un utente conoscendo solo l’indirizzo di posta elettronica utilizzato per la registrazione al servizio. In tutto questo tempo, il team di sviluppo non ha ancora risolto il bug, come ha confermato il sito The Next Web. In poco tempo è infatti possibile cambiare la password e sottrarre account (oltre al credito telefonico) al legittimo proprietario.

Il problema risiede nel modo in cui è stato implementato il sistema di recupero della password. Per riprodurre l’attacco è sufficiente conoscere l’indirizzo email della vittima. Quando un utente crea un nuovo account utilizzando un’email esistente, Skype ricorda gli username associati a quell’indirizzo. Conoscendo email e nome utente, si può utilizzare il tool per il reset della password e quindi prendere possesso dell’account.

[nggallery id=1839 template=inside]

The Next Web non pubblica tutti i dettagli dell’exploit, ma ha informato Skype. L’azienda, da qualche mese divisione di Microsoft, ha temporaneamente disattivato il reset delle password in attesa di trovare una soluzione definitiva al problema. Nel frattempo, per evitare di diventare il bersaglio di qualche hacker l’utente può decidere di modificare l’indirizzo di posta usato per la creazione dell’account seguendo questi semplici passi.

• Effettuare il login e cliccare sul link “Profilo” sotto la voce “Dati account”;
• nella sezione “Recapiti”, aggiungere un altro indirizzo email e cliccare su “Salva”;
• cliccare su “Modifica” (in fondo alla pagina), impostare la nuova email come indirizzo principale e cliccare su “Salva”;
• immettere la password e premere “Invio”;
• eliminare la vecchia email.