Sicherheit
Skype-Lücke erlaubt Zugriff auf fremde Konten
von
Thorsten
Eggeling - 15.11.2012
Ein Fehler beim Telefonie-Dienst Skype hat offenbar über Monate hinweg den Zugriff auf fremde Konten ermöglicht. Der Skype-Support war darüber informiert, aber erst jetzt wurden die nötigen Schritte zur Behebung des Problems eingeleitet.
The Next Web berichtet, dass sich bei Skype bis vor kurzem ein neues Benutzerkonto mit beliebigen E-Mail-Adressen verknüpfen ließen, auch wenn die E-Mail-Adresse schon bei Skype registriert war. An sich kein Problem, denn der Zugriff auf die Daten eines anderen Kontos mit der gleichen E-Mail-Adresse war darüber nicht möglich. Wenn jedoch der Besitzer des neu angelegten Kontos "Passwort zurücksetzen" auf der Skype-Website anklickte, bekam er ein Ersatzkennwort für das Konto zugesandt, das zuerst mit dieser E-Mail-Adresse eingerichtet worden war.
Wenn einem Konto eine fremde E-Mail-Adresse zugewiesen wird, bleibt das nicht völlig unbemerkt. In diesem Fall sendet Skype eine Willkommensnachricht an diese E-Mail-Adresse und teilt mit, dass ein neues Skype-Konto eröffnet wurde. Einem Skype-Nutzer war die E-Mail aufgefallen, denn er hatte kein neues Konto eröffnet. Viele Nutzer werden eine unerwartete E-Mail eher als Spam ansehen und sofort löschen. George A. kontaktierte jedoch den Skype-Support und fragte nach. Dabei kam heraus, dass jemand ein neues Konto mit seiner E-Mail Adresse eröffnet hatte. Er bemängelte, dass in der Willkommensnachricht kein Link enthalten ist, über den die Gültigkeit der Adresse überprüft wird. Den Skype-Support hat das jedoch nicht weiter interessiert.
Dem Skype-Betreiber Microsoft wurden die eigentlichen Ausmaße des Problems wohl erst klar, als in einem russischen Forum eine //forum.xeksec.com/skype.html#post98725:detaillierte Anleitung auftauchte, die beschreibt, wie aus einem unscheinbaren Fehler eine gravierende Sicherheitslücke wird. Hier wird erklärt, wie man mit einem neuen Konto und einer fremden E-Mail-Adresse, andere Skype-Konten übernehmen kann. Inzwischen wurde die Sicherheitslücke laut The Next Web behoben. Microsoft hat die Funktion, über die sich Passwörter zurücksetzen lassen, zuerst deaktiviert und dann abgesichert.
Skype-Nutzer sollten jedoch prüfen, ob sie in letzter Zeit unaufgefordert Nachrichten mit Informationen über ein neu eingerichtetes Konto erhalten haben. Es ist in jedem Fall sinnvoll, das Skype-Konto durch eine neues, ausreichend kompliziertes Passwort abzusichern.
