Se trataba de un fallo muy tonto que a la postre se ha convertido en una de las brechas de seguridad más grandes conocidas hasta ahora en Skype. Concretamente cualquiera, sin necesidad de grandes conocimientos, podía acceder a una cuenta de Skype de otro usuario tan solo conociendo su dirección de correo electrónico y cambiando la contraseña.

El procedimiento para conseguirlo se publicó hace dos meses en el foro ruso Xeksec y puede completarse en unos sencillos pasos, eso sí, lo dejamos como PoC porque actualmente y para impedir el secuestro de más cuentas se ha desactivado temporalmente el restablecimiento de contraseña:

1. Crea una cuenta nueva y usa el mail de la víctima:

2. Abre la aplicación de Skype con esas credenciales:

3. Solicita la recuperación de contraseña:

4. Skype envía el token de recuperación de contraseña al mail y a la aplicación:

5. Abres el enlace del token, Skype detecta más de una cuenta asociada a ese mail, eliges el de la víctima y ¡puedes cambiar su contraseña!

(capturas de pantalla de pixus.ru)

Acerca de Mi Dylan Irzi

Colombiano, WebMaster, Independent Security Researcher , Apasionado por la Seguridad Informatica, #WhiteHat. Programador. Co-Fundador y Dueño de WebSecurityDev.com

0Day Noticias Seguridad