Advarsel: Alle kan overtage din Skype-konto, hvis de kender din email
Skype-brugere er blevet ramt af et massivt sikkerhedshul i softwaren, som i flere måneder gjorde det uhyre nemt at overtage en andens konto, hvis man bare kender den email-adresse, der er tilknyttet kontoen.
Hullet er onsdag omkring middagstid blevet lukket af Skype, som i første omgang har slukket for password-reset-funktionen.
Med e-mail-adressen i hånden kunne man nemlig oprette en ny konto og så forholdsvist nemt få adgang til den rigtige konto og overtage den. Det skriver The Next Web, som også har kontaktet Skype og Microsoft, som ejer Skype, og fortalt dem om problemet.
Vil man beskytte sig mod dette kritiske hul, er det sikreste at logge på Skype med brugernavn og password og så ændre den email-adresse, man har opgivet. Enten til en anden, mindre kendt adresse, man bruger eller opretter til formålet, eller til en volapyk-adresse. Dermed mister man dog muligheden for at få adgang på ny, hvis man for eksempel glemmer sit password.
Hullet har været beskrevet på et russisk netforum for to måneder siden, men er altså først nu blevet bredt kendt. The Next Web har afprøvet hullet flere gange med succes, ud fra opskriften, men giver ikke den præcise vejledning til hullet videre - ligesom Version2 også vælger ikke at beskrive arbejdsgangen.
Version2 forsøger at indhente en kommentar fra Microsoft Danmark.
Opdateret kl. 11.44: Skype har nu lukket for password-reset-funktionen, så det ikke er muligt at udnytte hullet. Imens bliver sikkerhedshullet undersøgt nærmere.
Kommentarer (8)
Det er god skik, for hver service man tilmelder sin email til, at tilføje et unikt alias. Med gmail gøres dette så nemt som at skrive alias efter den egentlige email, adskildt af et plus.
Hvis man tilmelder sig Skype med f.eks. jens.hansen+skype@gmail.com, vil al mail sendt til denne konto stadig lande hos jens.hansen@gmail.com. Men det gør det nemt at opsætte filtre, ligesom man kan se hvilken service der evt. skulle have lækket ens email (spam mv.).
I dette konkrete tilfælde, kan man blot ændre sin email hos Skype til f.eks. jens.hansen+j78sc3@gmail.com, uden at miste muligheden for at modtage nulstillings-emails fra skype.
-
7 -
1
Account-siden i Skype (online udgaven) ser ud til at fjerne alias fra den indtastede email-adresse. Sig endelig til, hvis nogen får Caspers ellers gode tip til at virke.
-
0
-
0
Account-siden i Skype (online udgaven) ser ud til at fjerne alias fra den indtastede email-adresse. Sig endelig til, hvis nogen får Caspers ellers gode tip til at virke.
Skype's UI er ikke specielt godt lavet; kræver nemlig at du opretter en ny sekundær ved siden af den primære og sidenhen skifter den primære ud med den du lige har oprettet. Desuden ser det ikke ud til at du kan slette den gamle primære (nu sekundære) email, så giv den istedet et alias ligesom som din nye primære. Men mon ikke dit problem opstår fordi Microsoft har slået funktionen fra, som version2 skriver i den opdaterede tekst.
-
0
-
0
Er det bare mig men vil hvis jeg nu har mailen hans@gmail.com og en anden har tobias+hans@gmail.com burde gmail så ikke håndterer dem så to forskellige mails?
-
0
-
2
Er det bare mig men vil hvis jeg nu har mailen hans@gmail.com og en anden har tobias+hans@gmail.com burde gmail så ikke håndterer dem så to forskellige mails?
Du får ikke lov til at oprette email adresser med "+" i hos Google. Se Google's originale FAQ om emnet her.
-
1
-
0
Det jeg tænker på er om googles måde at gøre det på, overhoved er i tråd med standarten, jeg tænker burde det ikke opfattes af email systemer som to forskellige addreser.
Jeg ved ikke om der er nogen RFE for området. Men et problem kan være, at ikke alle systemer tillader at man bruger "+" i sin email.
-
0
-
0
Googles alias princip er vist ikke særlig udbredt hos andre. Kræver at mailserveren kan/vil/gider håndtere princippet
Så det bør nok prøves ved at sende en test mail til sig selv først
-
0
-
0
Tilføj kommentar
