воскресенье, 6 ноября 2011 г.

Skype security issues

Все мы знаем много разговоров о том какой безопасный скайп. Не раз наталкивались на сообщения в  новостях что протокол зашифрован и куча очумелых хакеров ломают эту систему и сломать не могут.

Могу вас обрадовать - все гораздо проще.

Совсем недавно я потерял доступ к своему аккаунту, потрерял деньги на счете и потерял всю личную переписку которую там вел.

Как вы думаете это случилось?

Что первое приходит на ум? Украли пароль? Украли данные с зашиврованного жесткого диска? Подсадили пароль?

Все это мне пришло в первую секунду и я потратил все выходные на форматирование, переустановку системы, смену всех паролей от онлайн служб и все равно находился в нервном состоянии и легком недоумении о том как же несмотря на все меры безопасности я потерял пароль?

Спешу обрадовать: все что я убил на своем ноутбуке и потерял кучу времени было напрасно. Проблема была не в тех перечисленных уязвимостях, не в том что я запустил на своей машине вирус или потерял пароль использую открытую Wifi сеть. Все гораздо проще.

И самое старшное здесь, что это может случится и с вами.

И знаете как все это произошло? Поддержка скайп получила письмо с просьбой сменить регистрационный имей, на имей злоумышлинника. Что она и сделала БЕЗ КОЛЛЕБАНИЙ!

То есть, людей в Скайп не волнут, что вы пол часа назад вышли из системы и пользовались ей до этого в течении больше пяти лет. Их не волнует ваша частная переписка. Их не волнут что на счету есть деньги (которые тоже были украдены). Их вообще не беспокоит что можно связаться с владельцем счета по имейл, телефону или подождать 6 часов пока я выйду на связь.

Они просто сменили имейл адерс, а хакер поменял пароль и получил полный контроль ко всему аккаунту!

Это пидеры.


Интересно так же другое, как вся эта история стала мне понятна и вскрыта вся безолаберность их системы безопасности. Эти ребята в поддержке, конечно мне ничего не обяснили и до сих пор не вернули деньги. Объяснять придется мне.

Во-первых я очень хорошо понимаю что такое безопасность компьютера и не делаю никаких глупостей. Жесткий диск зашифрован, пароли сгенерированы и храняться в защищенном месте.

Доступ к этим данным есть только у меня. А копьютер довольно хорошо контролируется. Поэтому вся эта ситуация просто не вписывалась в рамки моего понимания как можно украть эти данные. Это было технически не возможно.

Ответ всплыл сам сабой и по полной случайности. Сегодя, будуче еще в шоке от этой кражи (а прошло уже 7 дней с того момента), зашел на сайт скайпа и в целях безопасности сменил своей имейл.

Какого же было мое удивление что письмо о смене имейла через веб интерфейс отличалось от того имейла которое пришло от скайпа в первый раз о смене почты.

В первом случае, когда злоумышленник поменял мой регистрационный адрес через службу поддержки письмо было следующего содержания:


Hi there Alexey Kuznetsov,

www.skype.com

Your Skype account details

Confirmation of change to account details.

We have successfully updated your Skype account with the changes you requested.

We are sending this confirmation email for your security.

However, Skype will no longer send emails to this address, so if you didn't make any changes to your account or you have any queries, please contact Customer Support as soon as possible.

Talk soon,
The people at Skype


В этом письме (оно реально пришло с серверов поддержки скайпа, это не фишнг) не указан адрес на который приозошла смена адреса. А второе письмо, которое пришло после смены адреса через веб интерфейс выглядело так:



Hi there Alexey Kuznetsov,

www.skype.com

Registered email successfully changed

Registered email address successfully changed. We've updated your registered email address to ***@gmail.com. Visit your account to review your changes at any time.

If you have not changed your email address, please contact Skype Customer Service with any questions as someone may have fraudulently gained access to your account.
Talk soon,
The people at Skype

Что говорит только об одном - в первом случае, кража случилось с легкой руки поддержки скайп. Которая не разобравшись просто стала соучастником предступления по краже персональной информации, денег со счета и просто они ПИДЕРЫ,

Комментариев нет:

Отправить комментарий