Нова слабинка Skype. Як просто і швидко вкрасти ваш акаунт

Місяців зо три тому я писав про цю критичну вразливість у Skype support, але вона досі не виправлена. 

Відразу скажу, що саму уразливість я цілком не знаю, але останнім часом почалися масові викрадення аккаунтів. 

ЧИТАЙТЕ ТАКОЖ: Microsoft закриє Live Messenger на користь Skype

Для реалізації атаки необхідно лише знати e-mail жертви. 

Proof-of-Concept (копірайт)
1. Реєструємо новий скайп акк на мило жертви (там буде написано типу на це мило вже хтось зареєструвався).Не звертаємо уваги - заповнюємо далі.
2. Логін в скайп клієнт
3. Видаляємо всі куки, йдемо сюди і набиваємо мило жертви.
4. У скайп приходить повідомлення

6. Переходимо по посиланню і бачимо мило жертви і списки логінів зареєстрованих на це мило. Свій логін теж бачимо.
7. Вибираємо логін жертви і міняємо пароль
8. PROFIT 

На пошті жертви листи з'являються приблизно в такій послідовності (партнери і знайомі надіслали скріншоти своїх поштових скриньок після злому): 

Якщо Вам приходили подібні листи - є нагода насторожитися! 

Єдиний спосіб захиститися на даний момент, це зареєструвати нову нікому не відому e-mail адресу і змінити через сайт скайпу основний e-mail аккаунта на новий. 

Увага! Змінити через саму програму skype основний e-mail не можна! Тільки через сайт! 

За останній тиждень 10 чоловік тільки з мого контакт листа зламали за допомогою цієї уразливості. 
Я хочу попередити всіх якнайшвидше убезпечити себе, так як поки що Microsoft не приймає ніяких дій, подбайте про свою безпеку самі. 

UPD: З'явився спосіб (PoC), як використовувати уразливість.

UPD 2: Офіційний коментар від представника Skype:

Ми отримали повідомлення про уразливість в системі безпеки Skype. В цілях безпеки наших користувачів ми тимчасово відключили функцію скидання пароля, також ми продовжуємо далі досліджувати це питання. Приносимо свої вибачення за незручність, безпека наших користувачів є нашим пріоритетом.

Оригінал: habrahabr.ru