e-Gov

Password intoccabili su Skype per colpa di una falla da polli

La pagina per cambiare le password di Skype è stata momentaneamente rimossa a causa di una falla nella sicurezza. Fino a ieri bastava conoscere l'indirizzo mail di un utente del servizio VoIP per rubargli l'account. Stando a quanto pubblicato da The Next Web la scoperta risale a un paio di mesi fa, quando il trucchetto fu pubblicato su un forum russo.

Skype ha bloccato il servizio di reset delle password

La notizia però è circolata solo oggi, quando Skype ha disabilitato il comando di reset delle password. "Abbiamo avuto notizia di una nuova vulnerabilità di sicurezza. Per precauzione abbiamo temporaneamente disabilitato la reimpostazione della password, mentre conduciamo le verifiche del caso. Ci scusiamo per l'inconveniente, ma la sicurezza è la nostra priorità" si legge ora sulla pagina ufficiale.

Così facendo gli utenti non correranno rischi. Se poi non vi fidate sappiate che il modo per essere davvero certi di essere al sicuro è quello di cambiare l'indirizzo di posta associato al vostro account con uno complesso e difficile da individuare. Per farlo vi basterà accedere ai dettagli dell'account di Skype, visualizzare il vostro profilo e sostituire l'indirizzo mail.

Il problema era che conoscendo l'indirizzo di posta elettronica legato a un account si poteva usarlo per creare un nuovo account legato a quello preesistente. Con un paio di passaggi poi si reimpostava la parole d'ordine e il gioco era fatto. Il ladro poteva reimpostare le password per tutti gli account associati all'indirizzo in questione, bloccando il proprietario legittimo e disponendo liberamente del suo credito.

###old1899###old

Nei giorni scorsi i redattori di TNW hanno provato a bucare il sistema di sicurezza e riferiscono di esserci riusciti senza particolari problemi, competenze o strumenti, a conferma della gravità della falla.

La vulnerabilità consiste proprio nel meccanismo di creazione degli account del servizio VoIP, che consente di creare più di un'utenza con lo stesso indirizzo mail. Una volta inviata la richiesta per la registrazione di un nuovo account, Skype risponde con un messaggio in cui ricorda il nome utente e dà la possibilità di cambiare la password associata: un errore colossale che dovrà essere risolto il più velocemente possibile.

Aggiornamento: Skype ha comunicato di avere risolto il problema. Il processo di reimpostazione delle password è stato rivisto e ora non viene più spedita la notifica che riassume le credenziali d'accesso. Secondo l'azienda sarebbero pochi gli utenti vittima del problema.