Skype inaktiverar lösenordsåterställning efter säkerhetsfel exponerad

Microsoft har inaktiverat möjligheten för användare att återställa sina Skype-lösenord efter säkerhetsexperter avslöjade en allvarlig fel i programvaran som tillåter alla som känner till din e-postadress för att hacka ditt Skype-konto.

Sårbarheten tillåts att personer registrerar sig på Skype med e-postadresser som redan används av andra och sedan tvinga lösenordsåterställningar för konton som är kopplade till den adressen för att få tillgång till ditt konto. I grund och botten kunde alla som kände din e-postadress registrera sig för ett nytt Skype-konto med det och sedan återställa lösenordet för ditt nuvarande konto och därmed hacka in.

Utnyttjandet uppträdde först på flera ryska forum och har utnyttjats aktivt sedan, Costin Raiu, en senior säkerhetsforskare vid Kaspersky Lab, sa i ett blogginlägg. För att skydda mot denna sårbarhet rekommenderar Raiu att användarna ändrar e-postadressen som är kopplad till sitt Skype-konto till en ny adress som aldrig användes tidigare.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Rik Ferguson, chef för säkerhetsforskning och kommunikation vid Trend Micro, förklarar hur lätt det var att hacka in i någons Skype-konto: "I grunden är förfarandet så enkelt att det kan utföras av även de mest oerfarna datoranvändarna. […] Detta skulle låsa offret ut ur sitt Skype-konto och låta hackaren ta emot och svara på alla meddelanden som är avsedda för det offret tills vidare. Jag testade sårbarheten och hela processen tog bara några minuter. "

Skype sa också i ett uttalande att den är medveten om det nya säkerhetsproblemet. "Som ett försiktighetssteg har vi tillfälligt inaktiverat lösenordsåterställning, eftersom vi fortsätter att undersöka problemet ytterligare. Vi ber om ursäkt för besväret, men användarupplevelse och säkerhet är vår första prioritet, säger uttalandet.