Trend Micro: Kritische Sicherheitslücke in Skype

Mit einfacher Methode können Skype-Konten übernommen werden

[datensicherheit.de, 14.11.2012] Trend Micro warnt vor einer kritischen Sicherheitslücke in dem beliebten Voice-over-IP-Dienst Skype. Wie The Next Web und The Register berichten, können Cyberkriminelle Nutzerkonten übernehmen, ohne diese vorher hacken zu müssen. Sie müssen nur ein neues Konto anlegen und mit der E-Mail-Adresse des Opfers verknüpfen. Durch einen Fehler im Prozess für das Zurücksetzen von Passwörtern können die digitalen Gangster das Passwort für das Skype-Konto, das der missbrauchten E-Mail-Adresse ursprünglich zugeordnet ist, gegen ein neues austauschen – und das Konto ist übernommen.
Die Methode wurde offenbar schon vor drei Monaten zum ersten Mal auf einem russischen Online-Forum beschrieben. Und erst gestern hat derselbe Autor auf einer anderen Website berichtet, dass die Sicherheitslücke noch immer nicht geschlossen sei und wohl viele Skype-Nutzer, darunter auch zahlreiche aus seiner eigenen Kontaktliste, dem üblen Trick zum Opfer gefallen seien.
Der Trend Micro-Sicherheitsexperte Rik Ferguson hat die Methode getestet – selbstverständlich mit fingierten Daten – und kommt zu dem Ergebnis, dass sich Skype-Konten so innerhalb weniger Minuten übernehmen lassen.

Microsoft ist bereits über den Vorfall informiert und hat als kurzfristige Reaktion darauf die Seite für das Zurücksetzen des Passworts auf Skype gesperrt.