Порочная связь: уязвимость в Skype позволяет получить доступ к любому аккаунту, привязанному к аккаунту Microsoft

skype_vuln

Рассказывает Том Варрен 


Если вы недавно получили странное сообщение в Skype со ссылкой на Baidu или LinkedIn, знайте — вы не одиноки. В прошедшие несколько недель я получил спам-ссылки на Baidu от шести из моих контактов в Skype: одну от того, кто работает в PR-агенстве Microsoft, еще одну — от бывшего сотрудника Microsoft. Они удивились тому, что их аккаунты взломаны, а некоторые были уверены в том, что защищены двухфакторной аутентификацией Microsoft. Как выяснилось, они ошибались.

Топик на форуме техподдержки Skype показывает, что такая же ситуация произошла с сотнями других пользователей. Взломанные Skype-аккаунты используются, чтобы отсылать тысячи сообщений со спамом, прежде чем они блокируются, а владельцы получают возможность вернуть к ним доступ. Skype уже был жертвой похожих атак в прошлом году, когда хакеры смогли подделать сообщения, используя список украденных логинов и паролей, чтобы получить доступ к аккаунтам.

Я разговаривал с сотрудником Microsoft, чей аккаунт был взломан не так давно. У него была настроена двухфакторная аутентификация, но хакеры смогли войти, используя его старые логин и пароль. Я даже протестировал это на своем собственном аккаунте, и у меня получилось войти в Skype с помощью старого пароля, несмотря на то, что я связал аккаунты Skype и Microsoft несколько месяцев назад. Я думал, что защищен двухфакторной аутентификацией, но я ошибся.

Есть фикс, который закрывает эту уязвимость, но он не исправляет проблему для тех, кто уже связал аккаунты Microsoft и Skype. Если вы входите в их число, то вам нужно обновить ваш Skype-аккаунт, чтобы убедиться, что он полностью слит с аккаунтом Microsoft.

  • Перейдите по ссылке https://account.microsoft.com. Если вы уже залогинены, разлогиньтесь.
  • Введите ваш логин Skype (не ваш email аккаунта Microsoft) и, используя пароль Skype, авторизуйтесь.
  • Если вы уже связали ваш аккаунт Microsoft, вам будет предложено зарегистрироваться и объединить учетные записи, чтобы создать псевдоним Skype.

Немедленно защитите ваши аккаунты Skype и Microsoft

После того, как ваши аккаунты будут правильно объединены, Microsoft создаст псевдоним Skype, чтобы позволить вам авторизоваться, используя логин Skype. Вы можете продолжить использовать этот логин или отключить его в настройках псевдонима, чтобы быть уверенным в том, что никто не попробует зайти в ваш аккаунт с помощью него. Так или иначе, вы больше не сможете использовать старый пароль, а злоумышленникам нужен будет доступ к email, связанному с вашим аккаунтом.

Детальные инструкции для слияния аккаунтов Microsoft и Skype доступны на сайте поддержки Skype.

Источник: The VergeАнтон Корольков, full stack ньюсрайтер