10:21
14/11/2012

Na rosyjskim forum opublikowano instrukcję, jak przejąć dowolne konto Skype… Jak najszybciej zmieńcie wasz adres e-mail w koncie Skype na “nieprzewidywalny”.

Jak przejąć czyjeś konto Skype?

Oto instrukcja, jaka oryginalnie pojawiła się na rosyjskich stronach:

  • Zarejestruj nowe konto Skype, podając e-mail ofiary. Pojawi się ostrzeżęnie, że konto to już istnieje – ale można dalej kontynuować rejestrację.
  • skype-account-password-hacked

    Rejestracja nowej nazwy konta Skype na istniejący (czyjś) adres e-mail jest możliwa

  • Zaloguj się do Skype nowozałożonym kontem
  • Zażądaj zmiany hasła – https://login.skype.com/account/password-reset-request
  • Link do resetu hasła zostanie przesłany nie tylko na adres e-mail ofiary, ale również na konto Skype, które zostało założone.
    skype-password-reset-token

    Token do resetu hasła przychodzi na komunikator…

    Wejście na link pozwala na wybranie konta ofiary i reset hasła.

Jak się zabezpieczyć?

Jedynym zabezpieczeniem na tę chwilę jest zmiana adresu e-mail przypisanego do konta Skype.

  • Zaloguj się na stronie Skype’a (jeśli jeszcze możesz ;) i przejdź do edycji profilu.
  • Dodaj nowy e-mail, którego nikt nie przewidzi. Jeśli korzystasz z gmaila, możesz zbudować adres twojlogin+cokolwiek@gmail.com (twojlogin+skype@gmail.com to nie jest dobry pomysł…)
  • Zapisz zmany w profilu
  • Jeszcze raz przejdź do edycji profilu i ustaw nowowprowadzony e-mail jako podstawowy oraz skasuj stary e-mail
  • Zapisz zmiany
Uwaga, powyższy proces zmiany adresu e-mail może nie działać w Firefoksie (błąd w skryptach Skype) — jeśli nie możesz zmienić e-maila z poziomy Firefoksa, skorzystaj z innej przeglądarki.

Zróbcie to jak najszybciej. Niektóre kręgi już zaczęły masowe przejmowanie kont Skype — a po przejęciu konta atakujący ma dostęp do historii rozmów (o ile osoby z którymi rozmawiała ofiara są online)…

Skype może bardzo szybko zareagować na ten błąd logiczny, blokując wysyłanie tokenów resetu hasła na klienta Skype.

Aktualizacja 10:54
Skype właśnie zablokował formularz do resetu hasła – https://login.skype.com/account/password-reset-request.


Przeczytaj także:



62 komentarzy

Dodaj komentarz
  1. LOL

    • Być może w związku z zastępowaniem Live Messengera komunikatorem Skype dochodzi do takich rzeczy. Jednak oczywiście tego typu błąd nie powinien mieć miejsca.

    • “Let the Skype fall / When it crumbles / We will stand tall / We’ll face it all together…”

  2. To się ktoś popisał po stronie MS.

  3. takie cyrki tylko w microsofcie.

  4. epic fail roku XD

    • Chcieli sie jeszcze zalapac, przed koncem ;)

  5. Masakra, czy wystarczy zmienić ten adres w kliencie skype, czy trzeba to zrobić logując się do swojego profilu poprzez stronę WWW Skype?

  6. Mozna tak probowac wpisywac adressy nawet na slepo… S K Y P E F A I L

  7. Link do rosyjskiego forum nie działa

  8. A ja wgl na stronie Skype zmienić adresu email nie mogę =/

    • to samo – niby dodaje, niby ustawia jako “primary”, pyta o hasło… i przekierowuje do białej strony z komunikatem. po odświeżeniu danych na stronie profilu – zmian z adresem nie ma…

    • Wywalenie adresu działa, odśwież stronę (bo sam JS sobie nie radzi). Ale intuicyjnym interfejsem bym tego nie nazwał (klikanie na Edit w innym boksie, niż ten, w którym chcę edytować dane).

    • podczas zmiany maila sprobuj zatwierdzić wprowadzone hasło kliknięciem w niebieski przycisk a nie klawiszem enter, u mnie pomogło

    • sorry, miałem na myśli zielony przycisk ‘Wprowadź’

  9. skype chyba zawiesił w ogóle możliwość odzyskania hasła/użytkownika, bo funkcja podczas logowania nie działa..

  10. Geniusze. Ciekawe kiedy możemy się jakiejś łatki spodziewać… :|

  11. Chyba wyłączyli resetowanie hasła, a ta ruska strona jest już niedostępna…

    • mnie tam z tor’a dziala

  12. Oj, chyba wyłączyli możliwość odzyskiwania haseł…

  13. Chyba Skype już zablokował przypomnienie hasła, bo po kliknięciu na “Zapomniałem hasło” strona się tylko odświeża.

  14. wygląda na to, że nie można już resetować haseł

  15. I oczywiście już znalazło się kilka osób, które wszystkie “zasługi” z tym związane przypisują Microsoft :) Jak to dobrze i łatwo skojarzyć na szybko problem (który może istniał w sofcie od lat) z tak lubianym producentem oprogramowania :) Gratuluję toku myślenia :)

    • Tak, tak, oczywiście ten błąd był od lat i dzięki microsoftowi zostanie od razu naprawiony.

    • Dziękuje za gratulacje. A Ty komu proponujesz przypisać te zasługi?

    • Komentarz przypisujący problem Microsoftowi są raczej bez hejtu. Po prostu ktoś jest właścicielem softu i jest za niego odpowiedzialny ;)

    • PiSowi, Platformie, cyklistom. Do wyboru do koloru. Można ujadać ile się chce.

  16. Zgadza się już nie ma tokenów xD

  17. @Mariusz Kędziora: Microsoft trochę sobie na to zapracował …

    • Może sobie zapracował 6-8 lat temu, ale od tego czasu sporo się zmieniło – m.in. z wprowadzeniem TWC do procesu tworzenia produktów. Warto sprawdzić jak się ma liczba krytycznych bugów w oprogramowaniu Microsoft na przestrzeni ostatnich 1-2-3 lat w stosunku do innych producentów.

  18. Czy to oznacza że nie będzie się dało szukać ludzi w katalogu po mailu (po zmianie na nieczytelny)?

  19. logowanie do skype tez nie mozliwe ;]

    • A może już zdążyli Ci hasło zmienić ;)

    • Mi normalnie się loguje. Może ci zhackowali konto. :D

  20. SKYpeFALL ;-)

  21. Konta na Skype rzekomo nie da się skasować, a nie ukrywam, że w tym momencie bardzo chętnie pozbyłbym się mojego konta, nieużywanego już od ponad 5-ciu lat.

    W tej chwili próba zmiany wyboru głównego e-mail’a na stronie Skype’a powoduje wylogowanie z konta. Po ponownym zalogowaniu nie ma śladu po nowo dodanym adresie e-mail.
    Natomiast strona zmiany hasła dostępna po zalogowaniu na stronie Skype’a ma nieaktywne pola na nowe hasło i powtórzenie nowego hasła.

    Unia Europejska potrafiła się wpierniczyć w coś tak błahego jak “promowanie” przez MS Internet Explorer’a, to może mogłaby się w wolnej chwili zająć “niemożnością” usuwania kont na Skype’ie?

    • Niestety teraz debatują nad wymiarami eurokrowy, więc nie mają czasu na takie pierdoły.

    • Tam było odnośnie “polityk antymonopolowych” a to ma guzik z tym związane. Może jeszcze NATO i ONZ w to wciągnij.

    • Jasne, że Unia ma do rzeczy – oprócz praktyk antymonopolowych zajmuje się także ochroną danych konsumentów z UE. Jeśli chcę poprawić/skasować moje dane to mam do tego prawo (oczywiście z wyjątkiem miejsc, na które prawo nakłada obowiązek przechowywania danych w pewnym okresie czasu – Skype nie jest jednak Urzędem Skarbowym).

    • Przechowywanie danych osobowych obywateli krajów należących do UE, prawo do ich modyfikacji i usuwania…

      Podaj w profilu na stronie Skype’a imię, nazwisko, język, kraj. Zapisz zmiany. Następnie wymaż te dane i spróbuj zapisać zmiany. MS’owi się to nie podoba. Pozostaje wpisać w ich miejsce dane zmyślone…
      W profilu mojego konta, założonego jeszcze przed przejęciem Skype’a przez MS, te pola były puste i jakoś reszta świata mogła z tym żyć. Chcąc dziś dodać do profilu nowy adres e-mail, a następnie ustawić ten adres jako główny, musiałem też wypełnić wyżej wymienione pola (danymi zmyślonymi), by strona przyjęła zmiany. Teraz już nagle te pola nie mogą być puste.
      Jeśli się nie mylę, w regulaminie Skype’a jest mowa, że należy im podawać dane prawdziwe, więc wychodzi na to, że jestem złym człowiekiem. Jednak uważam, że w sytuacji, w której MS nie chce uszanować woli użytkowników Skype’a chcących usunąc swoje konta, ja nie poczuwam się do obowiązku podawania im swoich prawdziwych danych.
      Sytuacja ta jest co najmniej nieelegancka, a MS mógłby jej uniknąć, gdyby tylko umożliwił usuwanie kont Skype’a. Jedyne, co MS na tym zyskuje, to śmietnik w bazie użytkowników Skype’a i statystyki z dupy wzięte.

      Jeśli obywatele krajów UE koniecznie muszą być uświadamiani, że poza IE istnieją inne przeglądarki internetowe, to mogliby też mieć ten “luksus”, jakim jest wpływ na to, jak MS przechowuje (lub nie) ich dane, zwłaszcza w obliczu integracji wielu funkcji Windows 8 z usługami internetowymi.[/FirstWorldProblems]

  22. logowanie możliwe, ja na stronie nie mogę znaleźć przycisku do zmiany, no chyba że ukryli:) ogólnie to “account” jest “baaaaaardzo” user-friendly.. niczego nie widać

    • ale za to ma kafelki :]

  23. No cóż; jak widać kolejny raz widać “moc” microsoftu.
    Fail ciekawy, tym ciekawszy, że sam mam skype.

  24. tak wogóle z innej beczki – czy mieliście dzisiaj aktualizacje do Windowsa z Microsoftu, których się nie dało odłożyć i systemy się restartowały bez możliwości przerwania?

    • Jedna z pierwszych rzeczy jakie robię po instalacji Windowsa, to wyłączenie autorestartu po instalacji poprawek w Group Policy (względnie w rejestrze jak nie ma gp). Polecam.

  25. gdyby każdy kto popełniał takie błędy dostawał kare po kilkanaście tysięcy euro, każdy by chodził jak w zegarku…a może się mylę ?

    • Trochę masz rację trochę się mylisz :)

      Pewnie teraz do sklepów wchodziłby odpowiednik Windows 95. Generalnie wszystko by rozwijało się duż wolniej, więc wg mnie lepiej tak jak teraz.

  26. Ktoś tego czegoś jeszcze używa?

  27. tak, nsa. ;)

  28. It’s not a bug, it’s a feature!

  29. Password is too easy to guess. Choose a more complex password.
    dziś chciałem zmienić hasło, jednak skype pokazał mi w/w komunikat
    nie ukrywam mialem krotkie haslo slownikowe, bo szybko sie je pisalo chcialem to zmienić i tak moje nowe haslo miało, małe i duże litery, cyfry oraz znaki specjalne długość wynosiła 21 znaków, monit ustał kiedy usunąłem wyraz ‘skype’ z hasła…

  30. Już działa formularz resetu hasła, wygląda na to ,że załatali dziurę.

  31. It’s not a bug, it’s a feature ;)

  32. Hmm już dawno myślałem, żeby pomyśleć o jakiejś alternatywie… Teraz chyba przyszła na to pora!

  33. Nie da sie zmienic emaila na koncie skype przez przeglądarke.
    Sam skype mi sie nie uruchamia po updacie Win 7 do Sp1…

    • Da, zmieniałem, dokładnie popatrz :)

  34. Najlepsze jest to że jakiś czas temu zapomniałem swojego hasła do Skype i konto odzyskałem właśnie w ten sposób :)

  35. Wyszła właśnie nowa wersja Skype. Podobno już połatali w niej ten błąd.
    Dodali możliwość logowania się za pomocą “Microsoft account” i czatowanie z użytkownikami Windows Live Messenger.
    Z tego co widzę teraz, bo nie ma jeszcze oficjalnego changelog’a.

  36. […] Podobna dziura pozwalająca na przejęcie dowolnego konta użytkownika bez znajomości jego hasła znajdowała się kilka miesięcy temu w Skype… […]

  37. Problem powrócił. Dzisiaj moje konto zostało przejęte na
    godzinę. Na szczęście udało się je odzyskać.

  38. […] warto wybierać nie-tak-całkiem-przewidywalne loginy? Przytoczmy dziurę w Skype, gdzie jeśli ktoś znał nasz adres e-mail podany przy rejestracji (np. skype@moja-domena.pl) to […]

  39. […] przejęto konto — mógł je odzyskać w ten sam sposób ;-) Ta sytuacja to kolejny przykład (po podobnym problemie w Skype) na to, dlaczego nie tylko hasła, ale i loginy powinny być unikatowe i […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: