扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
Microsoft公司刚通过禁止密码重置,修复了Skype中的安全缺口。然而直到数月前,如果有人拿着有你的Skype 用户名,以及连接账户的邮箱地址,他就能登录你的Skype,并能获取你过去所有的Skype 数据——包括你最近发送,或收到的任何信息。
两个月前,俄国一家名为Xeksec的网站发布了一则帖子,其上详细罗列各类漏洞利用方法。今日,来自The Next Web的Emil Protalinski再次发布该帖。Protalinski证实,他能够侵入他人的Skype账户。此后,他将此情况反应给Microsoft,又过数小时,向TNW(战术核武器)网站也发出警示。数小时后,Microsoft作出回应,关闭了Skype密码重设站点,杜绝风险。
出乎人们意料,漏洞利用方法其实相当简单。若你知道某人的Skype用户名,并能根据用户名猜测出邮箱地址,基本就能进入Skype。Protalinksi这样解释:
当你使用已有邮箱地址再次注册Skype,客服中心会向你发送邮件提醒,提示用户名为何,若是无人能够登陆你的邮箱,这一举动没有错。不幸的是,通过这一方法,你从Skype处得到密码重置权限,而使第三方却得以收回原始密码,并得到你原始用户名,以及账户的使用权。
若Microsoft不关闭密码重置站点,那么任何人都能够获取你的Skype用户名,以及相应邮箱地址,登录你的账户,再更改密码,并且——这一点最让人讨厌——查阅你所有存储信息,包括消息记录内的发送,或收到的及时消息在内。
上周,Microsoft宣布称,将逐步淘汰Windows Live Messenger,将其功能与通讯并入Skype。Tony Bates 是Microsoft公司的Skype部门负责人,他这样说道:
告诉大家一个好消息!Skype 将与 Messenger合并。而成千上万的Messenger用户,他们能在Skype上与Messenger好友聊天。通过更新Skype,Messenger用户能与好友进行时事通讯,以及视频聊天... 从2013年的第一季度开始,我们将在全球范围内逐步取消Messenger(也有例外,中国大陆的用户仍能继续使用)。
据Protalinski称,俄罗斯的黑客曾向Microsoft反应安全漏洞。显然,直到近日,Protalinkski 再次发帖,将结果公布于众之前,Microsoft 内部无人对其感兴趣。
Skype方面刚刚发布公告,正式承认这一问题:
我们已得出新安全漏洞的调查报告。我们已采取预防措施,临时取消密码重置。就这一问题,我们将进行进一步调查。关于对用户所造成的不便,我们深表歉意,不过,我们优先考虑的仍是用户体验,以及用户安全。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者