Datenschutz: Sicherheitsgefahr in Skype entdeckt

Microsoft hat das Zurücksetzen des Skype-Kennworts deaktiviert. Damit soll verhindert werden, dass eine Sicherheitsgefahr in Skype weiterhin ausgenutzt werden kann. Angreifer konnten ohne große Mühe an die Skype-Zugangsdaten gelangen.

Artikel veröffentlicht am ,
Microsoft hat die Funktion zum Zurücksetzen des Kennworts in Skype abgeschaltet.
Microsoft hat die Funktion zum Zurücksetzen des Kennworts in Skype abgeschaltet. (Bild: Skype)

Skype hat seine Funktion zum Zurücksetzen des Kennwortes deaktiviert. Der Dienst hatte ein Sicherheitsrisiko und Microsoft hat die Funktion nun abgeschaltet, um weiteren Missbrauch zu verhindern. Seit langem gibt es in Skype die Möglichkeit, das Skype-Kennwort zurückzusetzen. Diese Funktion steht für Nutzer zur Verfügung, die ihr Skype-Kennwort vergessen haben. Das Problem dabei ist, dass Unbefugte das Kennwort für beliebige andere Skype-Konten zurücksetzen können.

Stellenmarkt
  1. Informatiker/IT-Spezialist (w/m/d) SAP Finanzwesen
    Universitätsklinikum Hamburg-Eppendorf, Hamburg-Eppendorf
  2. IT-Managerin (m/w/d) Kernfunktionalitäten & Projekte
    Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V., München
Detailsuche

Angreifer benötigten zum Verändern des Skype-Kennworts lediglich die E-Mail-Adresse, die dem Skype-Konto zugeordnet ist. Eigentlich sollten Fremde mit diesen Daten keine Möglichkeit haben, an ein neues Kennwort zu gelangen. Üblicherweise wird nach Eingabe der E-Mail-Adresse ein neues Kennwort an den Nutzer gesendet. Damit wird erreicht, dass das neue Kennwort nur an Personen übermittelt wird, die im Besitz der E-Mail-Zugangsdaten sind.

Unbefugte brauchten nur die E-Mail-Adresse zum Skype-Konto

Im Fall von Skype war das anders: Ein Unbefugter konnte das Kennwort ändern, ohne die Zugangskonten für das E-Mail-Konto zu kennen. In der Skype-Applikation wurde das neue Kennwort angezeigt, ohne dass ein Zugriff auf das E-Mail-Postfach erforderlich war. So direkt war ein Angriff aber nicht möglich, denn der Nutzer musste dazu im Skype-Client angemeldet sein.

Dazu konnte ein Angreifer ein neues Skype-Konto anlegen. Dieses neue Konto wurde der E-Mail-Adresse zugewiesen, die auch mit dem bestehenden Skype-Konto verbunden ist. Microsoft ordnete dann beiden Skype-Konten diese eine E-Mail-Adresse zu. Dadurch erhielt ein Angreifer den Zugriff auf das andere Skype-Konto und konnte für dieses das Kennwort zurücksetzen.

Golem Karrierewelt
  1. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    11.-15.07.2022, virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    13./14.09.2022, virtuell
Weitere IT-Trainings

Derzeit ist nicht bekannt, ob die Sicherheitsgefahr aktiv ausgenutzt wurde.

Nachtrag vom 14. November 2012, 17:01 Uhr

Skype hat den Fehler bestätigt, beseitigt und den Passwort-Reset-Prozess wieder freigeschaltet. Von dem Fehler sollen nur wenige Nutzer betroffen gewesen sein; solche, die mehrere Skype-Accounts unter derselben E-Mail-Adresse registriert hatten. Die entsprechenden Nutzer will Skype kontaktieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


BLi8819 15. Nov 2012

Hier wurde Skype mit Google Hangouts verglichen. Ich wüsste nicht, dass man mit zweitem...

IrgendeinNutzer 14. Nov 2012

Vorgestern hatte ich versucht mein Passwort für einen alten Testskypeaccount...

Anonymer Nutzer 14. Nov 2012

Um die Sicherheitslücken zu schließen muss man sie aber auch erst mal finden. :) MFG

Anonymer Nutzer 14. Nov 2012

Hehe, solche Fehler passieren auch den Golem-Redakteuren mal. Aber hat schon was...



Aktuell auf der Startseite von Golem.de
TADF Technologie
Samsung kauft Cynora in Bruchsal und entlässt alle

Der Cynora-Chef wollte das deutsche Start-up zum Einhorn entwickeln. Nun wurden die Patente und die TADF-Technologie von Samsung für 300 Millionen Dollar gekauft und das Unternehmen zerschlagen.

TADF Technologie: Samsung kauft Cynora in Bruchsal und entlässt alle
Artikel
  1. Brandenburg: DNS:Net-Verteiler wegen Telekom-Werbebanner überhitzt?
    Brandenburg  
    DNS:Net-Verteiler wegen Telekom-Werbebanner überhitzt?

    Bei DNS:Net kam es in dieser Woche bei starker Hitze zu einem Netzausfall in einem Ort. Schuld soll ein Werbebanner der Konkurrenz gewesen sein.

  2. Kryptogeld: Bitcoin wieder unter 20.000 US-Dollar, Fonds vor dem Aus
    Kryptogeld
    Bitcoin wieder unter 20.000 US-Dollar, Fonds vor dem Aus

    Ein Gericht hat die Liquidation von Three Arrows Capital angeordnet. Der Bitcoin sinkt wieder unter die Grenze von 20.000 US-Dollar.

  3. Vodafone: Vantage Towers betreibt Sendestationen mit Wasserstoff
    Vodafone
    Vantage Towers betreibt Sendestationen mit Wasserstoff

    Bei der Entwicklung des Containers mit Wasserstoffmotor sind Erfahrungen aus Einsätzen bei der Flutkatastrophe im Ahrtal eingeflossen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PNY RTX 3080 12GB günstig wie nie: 929€ • MindStar (MSI RX 6700 XT 499€, G.Skill DDR4-3600 32GB 165€, AMD Ryzen 9 5900X 375€) • Nur noch heute: NBB Black Week • Top-TVs bis 53% Rabatt • Top-Gaming-PC mit AMD Ryzen 7 RTX 3070 Ti 1.700€ • Samsung Galaxy S20 FE 5G 128GB 359€ [Werbung]
    •  /