Sicherheitslücke durch Passwort-Reset bei Skype
Microsoft hat heute die Reset-Funktion für Passwörter von Skype deaktiviert. Vorausgegangen war eine Sicherheitslücke, mit der sich durch die accountzugehörige E-Mail-Adresse der Skype-Zugang hat übernehmen lassen.
Bereits vor zwei Monaten wurde über ein russisches Forum verkündet, dass es im beliebten Messenger Skype ein gravierendes Sicherheitsproblem gab, welches auch von den Kollegen von The Next Web in einem Test bestätigt wurde. Mit dieser Sicherheitslücke war es möglich, nur unter Verwendung der E-Mail-Adresse des Benutzers, Kontrolle über dessen Skype-Account zu erlangen. Da die Funktion des Zurücksetzens des Passwortes hierbei eine Schlüsselrolle spielte, wurde diese von Microsoft in den letzten Stunden deaktiviert.
Die E-Mail-Adresse wird benötigt, damit sich der Account-Inhaber im Falle eines vergessenen Passwortes ein neues Kennwort an seine E-Mail-Adresse senden lassen kann. Viele Dienste, welche über ein Benutzer-Konto geführt werden, bedienen sich dieser Methode, soll hierbei doch sichergestellt werden, dass das neue Passwort nur von Personen erhalten werden kann, welche über einen Zugriff auf das besagte E-Mail-Konto verfügen.
Im Fall von Skype verhielt es sich aber anders: Um auf das fremde Konto zugreifen zu können, musste der Angreifer lediglich ein neues Skype-Konto unter Verwendung der bekannten E-Mail-Adresse eröffnen. Da das neue Konto automatisch der bereits bei Skype vermerkten E-Mail-Adresse zugeordnet wurde, hatte der Angreifer so auch indirekt Zugriff auf das vorhandene Skype-Konto. Im Folgenden war es für den Angreifer sehr einfach, das Passwort über die Reset-Funktion auf der Webseite zurückzusetzen, da der Zurücksetzungscode auch im neuen Account angezeigt wurde – ein Zugang zum E-Mail-Konto des Opfers war somit überflüssig. Wurde dieser Code nun im dazugehörigen Web-Formular eingegeben, konnte der Angreifer somit das Passwort für jeden Skype-Account, der mit dieser E-Mail-Adresse verknüpft ist ändern – diese mussten nur über die Auswahl selektiert werden.
Nach Bekanntwerden bestätigte Microsoft das Vorhandensein der Sicherheitslücke in einer Stellungnahme im Support-Bereich der Skype-Webseite, bei der sich das Unternehmen für die Unannehmlichkeiten entschuldigte und darauf hinwies, dass die Reset-Funktion für das Passwort vorübergehend aus Sicherheitsgründen deaktiviert wurde.
We have had reports of a new security vulnerability issue. As a precautionary step we have temporarily disabled password reset as we continue to investigate the issue further. We apologize for the inconvenience but user experience and safety is our first priority.
Durch das Sperren dieser Funktion ist es derzeit nicht mehr möglich, auf diese einfache Art sich Zugang zu fremden Skype-Konten zu verschaffen. Außerdem ist derzeit noch nicht bekannt, ob und wie oft diese Sicherheitslücke bisher ausgenutzt wurde.