Advarsel: Alle kan overtage din Skype-konto, hvis de kender din email

14. november 2012 kl. 11:028
Opdateret: Kender du den email-adresse, som er knyttet til en Skype-konto, kan du overtage den og ændre password. Det bedste forsvar er at ændre e-mail-adressen til noget forkert.
Artiklen er ældre end 30 dage

Skype-brugere er blevet ramt af et massivt sikkerhedshul i softwaren, som i flere måneder gjorde det uhyre nemt at overtage en andens konto, hvis man bare kender den email-adresse, der er tilknyttet kontoen.

Hullet er onsdag omkring middagstid blevet lukket af Skype, som i første omgang har slukket for password-reset-funktionen.

Med e-mail-adressen i hånden kunne man nemlig oprette en ny konto og så forholdsvist nemt få adgang til den rigtige konto og overtage den. Det skriver The Next Web, som også har kontaktet Skype og Microsoft, som ejer Skype, og fortalt dem om problemet.

Vil man beskytte sig mod dette kritiske hul, er det sikreste at logge på Skype med brugernavn og password og så ændre den email-adresse, man har opgivet. Enten til en anden, mindre kendt adresse, man bruger eller opretter til formålet, eller til en volapyk-adresse. Dermed mister man dog muligheden for at få adgang på ny, hvis man for eksempel glemmer sit password.

Artiklen fortsætter efter annoncen

Hullet har været beskrevet på et russisk netforum for to måneder siden, men er altså først nu blevet bredt kendt. The Next Web har afprøvet hullet flere gange med succes, ud fra opskriften, men giver ikke den præcise vejledning til hullet videre - ligesom Version2 også vælger ikke at beskrive arbejdsgangen.

Version2 forsøger at indhente en kommentar fra Microsoft Danmark.

Opdateret kl. 11.44: Skype har nu lukket for password-reset-funktionen, så det ikke er muligt at udnytte hullet. Imens bliver sikkerhedshullet undersøgt nærmere.

8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
15. november 2012 kl. 11:45

Googles alias princip er vist ikke særlig udbredt hos andre. Kræver at mailserveren kan/vil/gider håndtere princippet Så det bør nok prøves ved at sende en test mail til sig selv først

1
14. november 2012 kl. 11:26

Det er god skik, for hver service man tilmelder sin email til, at tilføje et unikt alias. Med gmail gøres dette så nemt som at skrive alias efter den egentlige email, adskildt af et plus.

Hvis man tilmelder sig Skype med f.eks. jens.hansen+skype@gmail.com, vil al mail sendt til denne konto stadig lande hos jens.hansen@gmail.com. Men det gør det nemt at opsætte filtre, ligesom man kan se hvilken service der evt. skulle have lækket ens email (spam mv.).

I dette konkrete tilfælde, kan man blot ændre sin email hos Skype til f.eks. jens.hansen+j78sc3@gmail.com, uden at miste muligheden for at modtage nulstillings-emails fra skype.

2
14. november 2012 kl. 12:14

Account-siden i Skype (online udgaven) ser ud til at fjerne alias fra den indtastede email-adresse. Sig endelig til, hvis nogen får Caspers ellers gode tip til at virke.

3
14. november 2012 kl. 12:18

Account-siden i Skype (online udgaven) ser ud til at fjerne alias fra den indtastede email-adresse. Sig endelig til, hvis nogen får Caspers ellers gode tip til at virke.

Skype's UI er ikke specielt godt lavet; kræver nemlig at du opretter en ny sekundær ved siden af den primære og sidenhen skifter den primære ud med den du lige har oprettet. Desuden ser det ikke ud til at du kan slette den gamle primære (nu sekundære) email, så giv den istedet et alias ligesom som din nye primære. Men mon ikke dit problem opstår fordi Microsoft har slået funktionen fra, som version2 skriver i den opdaterede tekst.