Agujero en recuperación de contraseña. Contando solamente con una dirección de correo electrónico es posible asumir el control de las cuentas de otras personas en Skype
El popular servicio de comunicaciones Skype, propiedad de Microsoft, presenta una grave vulnerabilidad que hace en extremo sencillo obtener el control de la cuenta de otros usuarios. Sólo es necesario conocer la dirección de correo electrónico utilizada por la víctima al registrar su cuenta en Skype.
El problema habría sido comentado en un foro ruso de seguridad hace dos meses, y ahora es referido por la publicación The Next Web. Microsoft y Skype habrían sido informados hace un tiempo, pero según la publicación sólo ahora habrían reaccionado.
En una actitud responsable ante los usuarios y deferente ante Microsoft, The Next Web no explica todos los detalles del procedimiento necesario para realizar la intrusión, aunque menciona que es necesario utilizar la dirección de correo electrónico de la víctima, combinada con la del intruso, al crear una nueva cuenta de usuario de Skype. Posteriormente, después de varios pasos -no revelados- es posible recibir un código para restablecer la contraseña, en la cuenta de correo del segundo usuario. Con ello, el intruso puede cambiar la contraseña de su víctima y así conseguir acceso a la cuenta éste, mientras que el usuario legítimo es bloqueado al desconocer la nueva contraseña.
Un portavoz de Skype confirmó ante The Next Web haber recibido informaciones sobre la vulnerabilidad, señalando que, por ahora, se han desactivado la posibilidad de restablecer contraseñas.