«Дыру» в безопасности Skype долго не замечали

«Уязвленный» сервис Skype приостановил работу функции сброса пароля и провел ряд обновлений. Это должно защитить аккаунты пользователей от взломов с последующими кражами

С момента обнаружения уязвимости в Skype прошло немало времени, и некоторые злоумышленники успели ею воспользоваться: кто-то ради забавы, а некоторые — для наживы. Однако в самом Skype о проблеме узнали лишь сегодня.

«Рано утром мы получили уведомление о сообщении пользователя, касающееся безопасности функции сброса пароля на нашем сайте. Эта проблема затрагивает пользователей, зарегистрировавших несколько учетных записей Skype на один и тот же адрес электронной почты. Сегодня утром мы временно приостановили работу функции сброса пароля в целях безопасности и провели обновления в процессе сброса пароля, что наладило его работу», — сообщили BFM.ru в компании Skype (с прошлого года принадлежит Microsoft).

Компания принесла пользователям извинения «за неудобства» и пообещала при необходимости оказать поддержку. Число пострадавших, по оценкам Skype, является небольшим.

Ведущий специалист отдела расследования инцидентов информационной безопасности Group-IB Максим Суханов в интервью BFM.ru отметил, что первая информация об использовании этой уязвимости Skype относится аж к началу ноября. «Тогда были взломаны аккаунты обменников электронных валют wm-center.com и Magnetic Exchange. Однако нельзя исключать успешное проведение и более ранних точечных атак, о которых мы ничего никогда не узнаем», — уточнил эксперт.

Внезапный взлом аккаунтов Skype нескольких онлайн-обменников вызвал обсуждение в закрытых хакерских сообществах, рассказал Максим Суханов: «В частности, высказывались мнения о существовании в Skype уязвимости «нулевого дня» — то есть, такой уязвимости, о которой широкой публике и производителю целевого программного обеспечения ничего не известно. То, что мы увидели в среду, лишь подтверждает это предположение. После публикации достоверных деталей обнаруженной уязвимости на различных интернет-ресурсах произошел ожидаемый взлом Skype-аккаунтов, совершенный, главным образом, из хулиганских побуждений».

О взломе своих skype-аккаунтов сообщили некоторые известные российские топ-блогеры: медиадиректор компании SUP Media (владеет сервисом LiveJournal) Антон Носик, фотограф Илья Варламов и другие.

Антон Носик в интервью Business FM заявил, что не исключает взрывного роста случаев с воровством аккаунтов Skype. «Количество людей, которые захотят воспользоваться этим простейшим рецептом увода аккаунта в Skype, трудно даже прогнозировать. Но их будет много, учитывая простоту процесса», — сказал он.

Впрочем, проблема временно решена блокировкой функции восстановления пароля и ее обновлением, о котором сообщил Skype. Напомним, обнаруженная уязвимость состоит в том, что аккаунт пользователя можно легко взломать, зарегистрировав новую учетную запись на известный электронный адрес. При помощи механизма восстановления пароля злоумышленники могли получить доступ ко всем аккаунтам, привязанным к этому e-mail адресу и сменить к ним пароли.

Некоторые пользователи поспешили обвинить сервис в некорректном отношении к защите данных.

Максим Суханов считает, что причиной появления подобной уязвимости стало неполное понимание аспектов работы Skype при внедрении нового функционала. «В целом, такого рода ошибки характерны для любых больших проектов, разрабатываемых многими программистами в течение длительного времени. Ранее уязвимости в системах восстановления паролей находились даже в крупных почтовых службах, например, Live.Com. Также можно смело заявить, что вины конкретного лица в таких случаях не бывает, ошибка закрадывается и не устраняется из-за несовершенства процессов по управлению качеством», — уверен представитель Group-IB.

В настоящее время особой паники в рядах пользователей Skype не заметно — первая волна возмущений сменилась ожиданием дальнейшего развития ситуации.

«Пример, который показал нам Skype, демонстрирует, что иногда даже параноидальное соблюдение всех основных правил — использовать сложный пароль, не переходить по ссылкам от незнакомых людей и прочее — не гарантирует полной безопасности, — указывает Максим Суханов. — Обнаруженный вектор атаки на Skype никем не был предусмотрен, ведь безопасность не может быть построена на сокрытии от чужих глаз адреса используемой электронной почты».

От обнаружения подобной или похожей уязвимости в другом популярном сервисе никто не застрахован, но ситуация со Skype должна стать уроком как для разработчиков программ, так и для пользователей, подытожил Суханов.