Artykuły dotyczące tematu: przejęcie konta

dodany: 28.06.2013 | tagi: , , , ,

Facebook płaci za poważny błąd

0

Angielski badacz bezpieczeństwa kryjący się pod ksywką fin1te odkrył poważny błąd w Facebooku, który pozwalał na przejęcie dowolnego konta i to w dodatku bez konieczności interakcji ofiary! Prawdziwie personalia analityka to Jack Whitten – w zamian za zgłoszenie problemu, otrzymał honorarium w wysokości 20 tysięcy dolarów US.

Słabość tkwiła dokładnie w skrypcie /ajax/settings/mobile/confirm_phone.php, który działa z dwoma zmiennymi: code oraz profile_id. Pierwszy z nich jest potwierdzeniem wysyłany przez SMS na numer użytkownika, natomiast drugi jak nie trudno się domyślić jest indywidualnym numerem profilu użytkownika.

Sęk w tym, że do skryptu można było podstawić dowolną wartość profile_id, gdyż owy skrypt, po prostu nie werfyfikuje zgodności numeru profilu z podanym numeru telefonu.

Odkrywca tego problemu przeprowadził test polegający najpierw na wysłaniu „esemesa” o treści na numer telefonu 32665 – owy numer jest zależny od regionu danego użytkownika (w tym wypadku numer ten dotyczy Wielkiej Brytanii).

Później otrzymany 8-znakowy kod weryfikacyjny podstawiamy do skryptu confirm_phone.php, oczywiście modyfikując parametr profile_id. 

Facebook naprawił ten problem w dniu dzisiejszym. Bezpiecznie mogli się czuć w tym wypadku użytkownicy, którzy nie podawali swojego numeru telefonu. Dziwi jednak fakt, że programiści FB przeoczyli tak oczywisty fakt, jak weryfikacja powiązania ID z numeru telefonu i wysłanym na niego kodzie aktywacyjnym.

dodany: 27.04.2013 | tagi: ,

Konto Skype łatwe do przejęcia

34

Wg badacza bezpieczeństwa, TibitXimera jego konto Skype zostało przejęte sześciokrotnie. Jakby tego było mało, każde konto na Skype można przejąć w ten sam sposób dzięki marnej w skutkach usłudze odzyskiwania konta po skontaktowaniu się z ich biurem obsługi klienta.

Po całym zajściu redakcja ZDnet postanowiła skontaktować się z Skype Support, ale osoba, z którą rozmawiano nie miała pojęcia o problemie, który miał miejsce, i który może narażać wszystkie konta Skype.

Najprawdopodobniej stało się tak dlatego, że w czasie przejmowania konta nie nastąpił żaden włam, użyto podstawowych technik inżynierii społecznej.

TibitXimer tak opisał całe zajście:

Konto zostało przejęte około 15:00. Odzyskałem je przy pomocy Skype support w 30 minut. W mniej niż 2 godziny później moje konto zostało skradzione raz jeszcze. Konto ponownie odzyskał za mnie mój kolega. (…) Kiedy wróciłem do domu wszystko działało. Wieczorem przejęto je ponownie. Znajomy pomógł mi je odzyskać i starał się powstrzymywać oszustów od dostępu do mojego konta.

TibitXimer postanowił porozmawiać z kierownikiem lub inną osobą zarządzającą Skype Supportem, ale jedyne co mu zaproponowano, to dołączenie adresu e-mailowego kierownika do korespondencji e-mailowej.

IkZj4a7

Wg TibitXimera, Skype wymaga trzech rzeczy do odzyskania konta:

  • podania 3 do 5 kontaktów z listy właściciela konta,
  • adresu e-mailowego, który był używany w Skype kiedykolwiek,
  • imienia i/lub nazwiska właściciela konta.

Proste, prawda?

Konto TibitXimera zostało użyte do oszukania ludzi na setki dolarów. O zszarganiu reputacji jego samego oraz usług, jakie świadczy, już nie wspominając.

To nie pierwszy raz, kiedy konto użytkownika Skype zostaje przejęte.

Aby się zabezpieczyć należałoby zmienić adres mailowy używany w Skype na taki, którego nikt nie zna i używać go tylko do tego jednego celu.

Skype nie dodaje pytania bezpieczeństwa, ani dwuskładnikowej autoryzacji. Nie poprawia także działania biura obsługi klienta.

dodany: 14.11.2012 | tagi: , ,

Jak łatwo przejąć konto Skype?

2

Okazuje się, że bardzo łatwo. Logowaliście się dziś do swojego Skype? Wszystko było w porządku?

Jesteście tymi szczęśliwcami, którym konta nie przejęto. Ale dla swojego bezpieczeństwa jak najszybciej zmieńcie adres e-mail przypisany do Waszych kont. Nie róbcie tego w Waszym kliencie Skype tylko na stronie logowania.

Wczoraj na forum XekSec pojawiła się informacja o luce w Skype powodującej przejęcie dowolnego konta, jeśli tylko znasz adres e-mail ofiary. W poście została opisana cała procedura przejęcia konta:

  1. Zarejestruj się jako nowy użytkownik używając adresu e-mail ofiary.
  2. Pomimo pojawienia się ostrzeżenia, że ten adres e-mail jest już w użyciu jesteś w stanie kontynuować rejestrację i stworzyć nową nazwę użytkownika.
  3. Zaloguj się na swoje świeżutkie konto i wyczyść pliki cookie.
  4. Dodaj jako dodatkowe twój adres e-mail.
  5. Zażądaj zmiany hasła. Link przekierowujący do zresetowania hasła zostaje przesłany na adres e-mail, oraz bezpośrednio na komunikator nowego użytkownika. Link prowadzi do wybrania nazwy użytkownika konta, do którego hasło chcemy zmienić. Pamiętaj aby sprawdzić login.
  6. Zaloguj się ponownie i zmień swój adres dodatkowy na główny.
  7. Gratulacje, własnie przejąłeś czyjeś konto.

Co zrobić, żeby Twoje konto zostało tylko Twoje?

Jedynym wyjściem w tej chwili jest zmiana adresu e-mail przypisanego do Twojego konta Skype. Tym razem takiego, którego nie da się łatwo zgadnąć lub takiego, którego będziesz używać tylko do korzystania ze Skype.

Zaloguj się na stronie Skype’a i przejdź do edycji konta. Dodaj nowy adres e-mail. Zapisz zmiany i wróć do edycji konta. Ustaw nowy adres e-mail jako główny i skasuj poprzedni e-mail. Wszystko potwierdź klikając „Zapisz”.

Jak zauważył Niebezpiecznik.pl, w bardzo łatwy sposób można rozwiązać ten błąd. Wystarczy, że zablokowane zostanie wysyłanie tokenów resetu hasła do klienta Skype. W ten sposób osoba, która się pod nas podszywa i nie zna naszego hasła do poczty, nie jest w stanie nic zrobić.

Microsoft, w odpowiedzi na zgłoszony błąd i masowe przejęcia kont Skype, postanowił zablokować usługę resetowania hasła. Dodatkowo klikając na stronie logowania „Nie pamiętasz swojej nazwy użytkownika Skype’a” czy tej samej regułki dotyczącej hasła, nie zostanie zrobione nic, poza odświeżeniem strony.