Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Datenschutz: Sicherheitsgefahr in Skype entdeckt

Microsoft hat das Zurücksetzen des Skype-Kennworts deaktiviert. Damit soll verhindert werden, dass eine Sicherheitsgefahr in Skype weiterhin ausgenutzt werden kann. Angreifer konnten ohne große Mühe an die Skype-Zugangsdaten gelangen.
/ Ingo Pakalski
16 Kommentare News folgen (öffnet im neuen Fenster)
Microsoft hat die Funktion zum Zurücksetzen des Kennworts in Skype abgeschaltet. (Bild: Skype)
Microsoft hat die Funktion zum Zurücksetzen des Kennworts in Skype abgeschaltet. Bild: Skype

Skype hat seine Funktion zum Zurücksetzen des Kennwortes deaktiviert. Der Dienst hatte ein Sicherheitsrisiko und Microsoft hat die Funktion nun abgeschaltet(öffnet im neuen Fenster) , um weiteren Missbrauch zu verhindern. Seit langem gibt es in Skype die Möglichkeit, das Skype-Kennwort zurückzusetzen. Diese Funktion steht für Nutzer zur Verfügung, die ihr Skype-Kennwort vergessen haben. Das Problem dabei ist, dass Unbefugte das Kennwort für beliebige andere Skype-Konten zurücksetzen können.

Angreifer benötigten zum Verändern des Skype-Kennworts lediglich die E-Mail-Adresse, die dem Skype-Konto zugeordnet ist. Eigentlich sollten Fremde mit diesen Daten keine Möglichkeit haben, an ein neues Kennwort zu gelangen. Üblicherweise wird nach Eingabe der E-Mail-Adresse ein neues Kennwort an den Nutzer gesendet. Damit wird erreicht, dass das neue Kennwort nur an Personen übermittelt wird, die im Besitz der E-Mail-Zugangsdaten sind.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT Business Partner (d/w/m) Industrie- und Handelsunion Dr. Wolfgang Boettger GmbH & Co. KG, Berlin,Homeoffice (öffnet im neuen Fenster)
Vertriebsmitarbeiter Einkaufsmanagementsoftware / SAAS-Lösungen (w/m/d) Web-App zur Rohstoff-Informations-Beschaffung - Quereinstieg möglich Matflixx GmbH, Frankfurt (öffnet im neuen Fenster)
Stellvertretende Leitung (w/m/d) für den Bereich IT Deutsche Umwelthilfe e.V., Radolfzell am Bodensee,Berlin (öffnet im neuen Fenster)
Statistiker/-in für Plausibilisierung und Imputation (w/m/d) im Referat »Künstliche Intelligenz und Imputation« (C13) Statistisches Bundesamt, Bonn,Wiesbaden (öffnet im neuen Fenster)
Sachbearbeiter/in und stellvertretende/r Sachgebietsleiter/in (w/m/d) Stadt Nürnberg, Nürnberg (öffnet im neuen Fenster)
Systemadministrator (gn*) Städtisches Klinikum Dessau, Dessau-Roßlau (öffnet im neuen Fenster)
ERP Application Consultant / Junior Developer (MS Dynamics NAV) - Prozessindustrie (w/m/d) FREY + LAU GmbH, Henstedt-Ulzburg (öffnet im neuen Fenster)
Software Testdesigner (m/w/d) intersoft GmbH, Hamburg (öffnet im neuen Fenster)

Unbefugte brauchten nur die E-Mail-Adresse zum Skype-Konto

Im Fall von Skype war das anders: Ein Unbefugter konnte das Kennwort ändern, ohne die Zugangskonten für das E-Mail-Konto zu kennen. In der Skype-Applikation wurde das neue Kennwort angezeigt, ohne dass ein Zugriff auf das E-Mail-Postfach erforderlich war. So direkt war ein Angriff aber nicht möglich, denn der Nutzer musste dazu im Skype-Client angemeldet sein.

Dazu konnte ein Angreifer ein neues Skype-Konto anlegen. Dieses neue Konto wurde der E-Mail-Adresse zugewiesen, die auch mit dem bestehenden Skype-Konto verbunden ist. Microsoft ordnete dann beiden Skype-Konten diese eine E-Mail-Adresse zu. Dadurch erhielt ein Angreifer den Zugriff auf das andere Skype-Konto und konnte für dieses das Kennwort zurücksetzen.

Derzeit ist nicht bekannt, ob die Sicherheitsgefahr aktiv ausgenutzt wurde.

Nachtrag vom 14. November 2012, 17:01 Uhr

Skype hat den Fehler bestätigt, beseitigt und den Passwort-Reset-Prozess wieder freigeschaltet. Von dem Fehler sollen nur wenige Nutzer betroffen gewesen sein; solche, die mehrere Skype-Accounts unter derselben E-Mail-Adresse registriert hatten. Die entsprechenden Nutzer will Skype kontaktieren.

Zur Startseite 16 Kommentare

Relevante Themen

SoftwareToolsUnternehmenssoftwarePolitikDatenschutzSecuritySicherheitslückeWissenTelekommunikation