Il noto programma di VoIP, Skype ,società che appartiene a Microsoft ormai da qualche tempo, ha annunciato nella giornata di ieri la presenza di un bug di sicurezza. Ovvero una gravissima vulnerabilità di Skype che doveva essere immediatamente risolta.
Il bug permetteva a chiunque di effettuare il login con un’email di un altro utente e poi richiedere il reset della password per qualunque account associato a quest’email. Ovvero era sufficiente conoscere solo l’indirizzo email utilizzato per la registrazione per prendere il controllo di un account in maniera non autorizzata attraverso il sistema di recupero delle password sul sito web. Oppure era possibile creare un nuovo account specificando l’indirizzo e-mail di un utente già iscritto a Skype, accedere al network utilizzando le credenziali appena attivate quindi richiedere la reimpostazione della password. A questo punto, l’aggressore poteva impersonificare l’identità altrui ricevendo automaticamente anche i log delle precedenti conversazioni intrattenute con i contatti al momento in linea.
Inoltre i codici per il reset erano mandati direttamente al cliente di Skype . In tal modo non bisognava accedere alla propria casella di posta per poter completare il reset, come normalmente avviene per maggiore sicurezza. Il bug ha colpito soprattutto alcuni utenti che hanno registrato più account Skype sullo stesso indirizzo email
In questi ultimi tempi si è verificato un enorme aumento di attacchi e ora Skype ha preso serti provvedimenti. Gli sviluppatori hanno capito che la causa sta nella modalità di reset della password nel caso in cui un utente la dimentichi. Bastava conoscere la mail utilizzata per la registrazione, seguire alcuni semplici passaggi e impossessarsi così dell’account utilizzando una nuova password. Nel momento in cui il possessore di tale account procedeva al login con le vecchie credenziali veniva ovviamente bloccato.
Immediatamente hanno deciso di sospendere il meccanismo di reset delle password, evitando così potenziali degenerazioni del problema. Successivamente hanno proceduto alla risoluzione del problema con degli aggiornamenti sul processo di reimpostazione password, in modo che funzioni correttamente.