Skype отжигает
Детали: http://habrahabr.ru/post/158545/
Чем грозит успешная атака:
- В самом лучшем случае, злоумышленнику станет доступен ваш список контактов и вся переписка, а также возможность выговорить ваши бабки со счета.
- В худшем случае, у вас полностью уведут аккаунт, и вы его не сможете вернуть.
Противоядие:
1. Создаем новый имейл.
2. Логинимся на сайте skype.com
3. Идем на https://secure.skype.com/portal/profile
4. Добавляем созданный имейл в список
5. Сохраняемся
6. Обновляем страницу, еще раз жмем "Добавить адрес эл. почты"
7. Ставим радио-батон напротив нового имейла, старый имейл можно удалить - просто очистить поле.
8. Сохраняемся, попросит ввести ваш пароль: вводим.
Теперь primary email никому не известен и атака стала невозможной до тех пор, пока о нем никто не знает.
p.s.
Также есть трюк, чтобы не создавать новый никому не известный емайл можно к существующему емайл добавить суффикс через +, например:
обычный емайл: мой_логин@мой_домен.ru
емайл с суффиком: мой_логин+секретное_слово@мой_домен.ru
письма отправленные на емайл с суффиксом приходят на ящик без суффикса (мой_логин@мой_домен.ru), но система считает этот емайл уникальным!
Собственно уязвимость известна уже долгое время. Однако, раз уже ее разосрали на весь мир, то нужно публиковать и рабочее противоядие.
Суть:
Зная электронный адрес, на который зарегистрирован ваш Skype, можно сменить пароль на ваш Skype аккаунт.
Не нужно иметь доступ к имейлу, возможность читать письма. Не нужен пароль от вашего скайп-аккаунта.
Все что нужно злоумышленнику: ваш имейл и ваш skypename.
Чем грозит успешная атака:
- В самом лучшем случае, злоумышленнику станет доступен ваш список контактов и вся переписка, а также возможность выговорить ваши бабки со счета.
- В худшем случае, у вас полностью уведут аккаунт, и вы его не сможете вернуть.
Противоядие:
1. Создаем новый имейл.
2. Логинимся на сайте skype.com
3. Идем на https://secure.skype.com/portal/profile
4. Добавляем созданный имейл в список
5. Сохраняемся
6. Обновляем страницу, еще раз жмем "Добавить адрес эл. почты"
7. Ставим радио-батон напротив нового имейла, старый имейл можно удалить - просто очистить поле.
8. Сохраняемся, попросит ввести ваш пароль: вводим.
Теперь primary email никому не известен и атака стала невозможной до тех пор, пока о нем никто не знает.
p.s.
Также есть трюк, чтобы не создавать новый никому не известный емайл можно к существующему емайл добавить суффикс через +, например:
обычный емайл: мой_логин@мой_домен.ru
емайл с суффиком: мой_логин+секретное_слово@мой_домен.ru
письма отправленные на емайл с суффиксом приходят на ящик без суффикса (мой_логин@мой_домен.ru), но система считает этот емайл уникальным!
Коментарі
Дописати коментар