我读到这篇文章的时候,有点震惊,不过似乎现在已经不能了。这种错误,完全是skype公司(现在是微软的弱智)
skype的注册时不需要验证邮箱的,这就是破解的关键点!
比如A人,用自己的邮箱aaa@aaa.com注册了一个名为aaa的skype,可能他还用这个aaa@aaa.com的aaa111的另外一个skype名,两者可以是同一密码,或者不同密码。
黑客B,也使用了邮箱aaa@aaa.com注册了一个bbb的skype,因为skype不验证邮箱是否存在,也不验证它是否被占用。
这时候,黑客B登录自己的skype,然后再在skype官方网站上找回密码处,提交aaa@aaa.com地址,用以找回密码。skype会发一封信到这个邮箱,里面有个代码,用这个代码协助重设密码。
现在奇迹发生了!黑客B根本不需要去破解aaa@aaa.com 这个邮箱,因为这封信,同时还会以通知消息的信息,投递给黑客B的skype的bbb账户上!!!
黑客B轻松更改了密码,再有奇迹发生了!现在,所有关联到这个邮箱上的skype账户(aaa,aaa111,bbb),它们的密码统统都被设置为黑客更改的最新密码了!!!!
skype俄语官方twitter账户发表了声明,表示知晓此事。曾经一段时间,skype密码恢复页面 https://login.skype.com/account/password-reset-request 一度打不开。
事情发生在36小时前,现在似乎,就算是自己的skype,也不会在出现通知消息了。发现该漏洞的人,很轻松地就把自己联系人的中10个人的skype账户给"黑了"。
No comments:
Post a Comment