E’ di qualche ora fa la notizia apparsa su un blog russo che consente di fare account hijacking su Skype. L’unica informazione da conoscere è l’indirizzo e-mail con cui si è registrato l’account bersaglio.
Gli step per riprodurre il bug sono i seguenti:
- Registrare un nuovo account su skype utilizzando l’indirizzo e-mail dell’account bersaglio. Apparirà un messaggio di errore che ci dirà che la mail è già in uso, ma possiamo procedere comunque nella creazione dell’account.
- Fare il login sul client Skype con l’account appena creato.
- Richiedere un password reset usando la mail del bersaglio.
- Riceveremo una notifica sul client Skype con il link dove modificare la password.
Al momento il team di Skype ha inibito la possibilità di chiedere un password reset e si stanno adoperando per correggere il bug.
Come possiamo vedere, il bug non sfrutta complicate metodologie, è semplicemente una svista umana. E’ un peccato però che succeda sempre più spesso a grandi portali.