Sicherheitslücke ermöglichte monatelang das Kapern von Skype-Konten

Microsoft hat Veränderungen am Rücksetzungsprozess für Skype-Konten vorgenommen. Damit reagiert das Unternehmen auf eine kritische Sicherheitslücke, durch die Angreifer Nutzer-Accounts einfach übernehmen konnten, ohne sie zu hacken. Dazu mussten sie nur die E-Mail-Adresse des Opfers kennen.

Nachdem Microsoft Berichte über die Schwachstelle erhalten hatte, schaltete es die Funktion zum Zurücksetzen des Skype-Passworts am Morgen vorübergehend ab. Dabei handelte es sich um eine Vorsichtsmaßnahme, wie aus einer knappen Sicherheitsmeldung hervorgeht. Inzwischen sei das Problem behoben. Man werde Kontakt zu einer kleinen Zahl Nutzer aufnehmen, die davon betroffen sein könnten und ihnen bei Bedarf helfen.

Unter anderem hatte das Sicherheitsunternehmen Trend Micro auf den unsicheren Rücksetzungsprozess hingewiesen. Ein Machbarkeitsbeweis für die Schwachstelle sei schon vor etwa drei Monaten in einem russischen Forum veröffentlicht worden. Doch erst als verschiedenen Websites die bis dahin noch immer nicht geschlossene Lücke aufgriffen, habe Microsoft reagiert. Der Autor des Proof-of-Concept erklärte, dass die Schwachstelle auf breiter Basis ausgenutzt wurde und viele seiner eigenen Kontakte davon betroffen waren.

Bisher konnten Cyberkriminelle Konten von Skype-Nutzer übernehmen, indem sie ein neues Konto anlegten und mit der E-Mail-Adresse des Opfers verknüpften. Durch einen Fehler im Prozess für das Zurücksetzen des Passworts waren sie anschließend in der Lage, das Kennwort für das Skype-Konto, das der missbrauchten E-Mail-Adresse ursprünglich zugeordnet war, gegen ein neues auszutauschen. Laut Trend Micro ließ sich auf diese Weise ein Skype-Konto innerhalb weniger Minuten kapern.

Dass Cloud-Dienste über die – erforderliche Möglichkeit-, Passwörter zurückzusetzen, angreifbar sind, mussten dieses Jahr auch schon Apple und Amazon erfahren. Einfallstor war bei Apple die telefonische Passwortrücksetzung für den Dienst iCloud. Damit gelang es einem Angreifer im August, die Kontrolle über das iPhone, iPad und MacBook des US-Journalisten Mat Honan zu übernehmen. Er leitete einen Reset der iOS-Geräte sowie die Fernlöschung des Notebooks ein. Und da Honan unvorsichtigerweise eine von Apple vergebene E-Mail-Adresse auch anderen Diensten zugeordnet hatte, konnte sich der Hacker ebenfalls Zugang zum Gmail-Konto verschaffen, das er löschte. Darüber hinaus griff er auf das Twitter-Konto des Journalisten sowie das seines ehemaligen Arbeitgebers zu und verbreitete darüber für den eigentlichen Account-Inhaber unangenehme Nachrichten.

[mit Material von Peter Marwan, ITespresso.de]

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitslücke ermöglichte monatelang das Kapern von Skype-Konten

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *