Skype出现帐号大漏洞!「6步骤骇客教学」网上流传
自从Windows 8正式推出后,微软开始了一连串的改革;先是宣布IE10不支援Windows 7以下的作业系统、推出「439元Win 8 Bug升级方案」、紧接着又宣判了MSN的死刑,确定要并入Skype。14日有国外民众发现,Skype帐号合并过程有瑕疵,只要6个步骤,人人都可以当骇客!
▲Skype出现超级大漏洞!(图/取自Skype)
到底问题出在哪呢?由于在MSN与Skype整并过程当中,一共会用到好几种帐号资料,包括「MSN帐号(也就是email)」、「Skype注册邮件(还是email)」以及「Skype号(自行设定)」,造成注册资料混乱;或许是为了整并上的方便,同样一组电子邮件地址,可以直接用来注册多组Skype帐号,甚至不需要电子邮件的确认。
于是问题来了!如果注册者并非电子邮件持有者本人,帐号的安全就受到很大的挑战。根据国外网友提供的资料,你只要完成以下6个步骤,就能把别人的帐号「夺为己用」。分别是:
▲同样电子邮件可以重复注册。(图/翻摄自Pixus.ru)
一、用别人的电子邮件地址注册帐号(记者实际测试,确定可以)。 二、用新申请的帐号登入Skype桌面版应用程式。 三、在首页「寻找好友」画面上任一处点一下,让视窗在被选取状态。接着一直按F5重新整理,直到「邀请你的Facebook好友来Skype」画面出现,选「不要」。
▲要骇别人帐号从没如此简单过。(图/翻摄自Pixus.ru)
四、去Skype的「忘记密码」画面,输入这个想骇的电子邮件地址,按送出。 五、回到Skype应用程式首页,会出现「密码被修改」的通知。按下面的「更多资料」,会出现临时序号,点下去。 六、你获得了更改这个电子邮件密码的权限,骇客成功!
▲骇客取得了修改密码的权限!(图/翻摄自Pixus.ru)
不过心怀不轨的人看到这,我可能得跟您说声抱歉,就在几个小时前微软关闭了「忘记密码」的功能,现正进行修正当中;这项漏洞已经被发现了。但微软自从Windows 8问世以来似乎状况连连,先前的「439 Win8 Bug升级方案」一度被修补,但这几天又有Bug再度出现的情况发生。(编按:第2次Bug的出现,多数人都认为微软是故意的,或许439卖得吓吓叫,吃味了。)
为了避免类似的资安危机再度发生,建议民众去Skype的个人资料页面新增一组「只有自己知道」的电子邮件地址,并设定此为主要地址,闪躲有心人士造成的伤害。
【11/15/08:00更新】美国微软发布了修正通知,内文如下:
Early this morning we were notified of user concerns surrounding the security of the password reset feature on our website. This issue affected some users where multiple Skype accounts were registered to the same email address.
We suspended the password reset feature temporarily this morning as a precaution and have made updates to the password reset process today so that it is now working properly. We are reaching out to a small number of users who may have been impacted to assist as necessary.
Skype is committed to providing a safe and secure communications experience to our users and we apologize for the inconvenience.