O Skype, ferramenta de IM que tem estado em destaque nos últimos tempo devido à integração do MSN feita pela Microsoft, está a ser afectada por uma falha de segurança grave.
Segundo informação disponibilizada, é possível tomar posse de uma conta Skype com um processo de simples mudança de password, sabendo o email associado a uma conta Skype.
Os serviços da Skype estão já a tentar resolver este problema e para o mitigar desabilitaram temporariamente a possibilidade de mudança de password.
Esta falha de segurança foi publicada há cerca de 2 meses num fórum Russo e depois testada e confirmada pelo site The Next Web e permite que qualquer utilizador que tenha acesso a um endereço de email associado a uma conta Skype consiga mudar a password desta e posteriormente a passe a controlar.
Toda a informação e o modo de efectuar este processo foi passado à Skype e a empresa está já a trabalhar numa solução para o resolver.
Segundo foi adiantado o processo passa pela criação de uma nova conta de Skype associada ao email da conta que pretendemos aceder à nova conta. Alguns passos mais tarde, e recorrendo apenas a um token e recuperação de password é possível alterar a password e aceder à conta pretendida.
As primeiras soluções para este problema passaram pela alteração do email associado a cada uma das contas de Skype para um menos conhecido, mas a Skype resolveu fechar temporariamente o acesso a este serviço de alteração de passwords, para que o problema não alastrasse a utilizadores que não tivessem conhecimento do problema.
A base do problema está no processo de alteração de passwords implementado pelo Skype. Ao ser pedida esta alteração é enviado um email a requerer essa confirmação e definição de uma nova, mas ao mesmo tempo esta mensagem é também enviada para a aplicação, o que leva a que seja possível apropriarem-se do token gerado para essa alteração e assim mudar a password conforme o atacante quiser.
A Skype e a Microsoft estão a trabalhar para resolver o problema e deverá em breve surgir uma resolução para o mesmo.
We have had reports of a new security vulnerability issue. As a precautionary step we have temporarily disabled password reset as we continue to investigate the issue further. We apologize for the inconvenience but user experience and safety is our first priority
Até que surja a resolução para este problema é recomendado que alterem o vosso endereço de email associado ao Skype para outro menos conhecido. O processo de alteração de password foi bloqueado pela Skype e por isso o problema deverá estar controlado.
