[Christoph]

Zitat:

Durch eine Sicherheitslücke ist es Angreifern möglich, Skype-Accounts fremder Nutzer über die Kennwort-Wiederherstellung zu übernehmen. Lediglich die mit dem Konto verknüpfte E-Mail-Adresse ist notwendig. Die Betreiber haben den Passwort-Reset vorübergehend deaktiviert.

Die Telekommunikations-Software Skype bietet Angreifern ein wohl in Internetforen bereits länger bekanntes Sicherheitsleck. Mit diesem lässt sich ein fremdes Skype-Konto einfach übernehmen – und das lediglich mit Kenntnis einer mit dem jeweiligen Konto verknüpften E-Mail-Adresse. Das Problem ist dabei die Passwort-Wiederherstellung des VoIP-Dienstes (Voice-over-Internet-Protocol) von Microsoft. Die Betreiber haben das System zum Zurücksetzen des Passworts vorübergehend deaktiviert und gehen dem Problem nach.

Fordert ein Angreifer über den Menüpunkt „Passwort vergessen“ beziehungsweise "Skype-Name vergessen?" eine Zurücksetzung des Kennwortes, wird nicht nur eine E-Mail an das jeweilige Konto verschickt. Die Skype-Server senden zusätzlich ein sogenanntes Sicherheits-Token an den Client-Rechner, das sich abfangen lässt. Kennt der Angreifer nun die entsprechende E-Mail-Adresse und hat ein wenig Erfahrung, kann er das Passwort zurücksetzen lassen und infolgedessen einen neuen Zugangscode vergeben. Wird anschließend ein neues E-Mail-Konto verknüpft, ist der Account vollständig übernommen.

Die Betreiber von Skype sind sich des Problems bewusst und arbeiten laut eigenen Aussagen an einer schnellen Lösung. In der Zwischenzeit wurde das Kennwort-Wiederherstellungssystem offline genommen. Ehrliche Nutzer, die ihr Passwort tatsächlich vergessen haben, müssen sich entsprechend gedulden. Gegenüber The Next Web ließ der Skype-Betreiber verlauten: „[…] Wir haben die Kennwortwiederherstellung als Vorsichtsmaßnahme temporär deaktiviert, während wir der Sache weiter nachgehen. Wir entschuldigen uns für die Unannehmlichkeiten[, die durch das Offline-nehmen der Kennwort-Wiederherstellung entstehen]. Die Nutzererfahrung und -Sicherheit sind unsere erste Priorität.“

Quelle: http://www.pc-magazin.de/news/skype-...ium=newsletter

Zitat:

Account-Klau bei Skype leichtgemacht
....
Der Russe Dmitry Chestnykh hat den Skype-Betreiber Microsoft nach eigenen Angaben bereits im August über das Sicherheitsproblem informiert, wie ein Chat-Protokoll belegen soll. Gehandelt hat das Unternehmen jedoch erst, nachdem Schritt-für-Schritt-Anleitungen in russischen Foren aufgetaucht sind. Inzwischen hat Microsoft die Zurücksetzen-Funktion auf der Skype-Webseite abgeschaltet.

Derzeit werde die Angelegenheit untersucht, heißt es dazu nunmehr von Microsoft. Der Konzern hatte Skype für rund 8,5 Milliarden Dollar gekauft und macht den Dienst gerade zur zentralen Kommunikationsplattform in der Windows-Welt. Zuletzt hatte Microsoft angekündigt, der hauseigene Messenger werde eingestellt; dessen Nutzer würden zu Skype überführt. (Uli Ries) / (rei)

Quelle: http://www.heise.de/newsticker/meldu...t-1749875.html