The Next Web berichtet, dass sich bei Skype bis vor kurzem ein neues Benutzerkonto mit beliebigen E-Mail-Adressen verknüpfen ließen, auch wenn die E-Mail-Adresse schon bei Skype registriert war. An sich kein Problem, denn der Zugriff auf die Daten eines anderen Kontos mit der gleichen E-Mail-Adresse war darüber nicht möglich. Wenn jedoch der Besitzer des neu angelegten Kontos "Passwort zurücksetzen" auf der Skype-Website anklickte, bekam er ein Ersatzkennwort für das Konto zugesandt, das zuerst mit dieser E-Mail-Adresse eingerichtet worden war.
Wenn einem Konto eine fremde E-Mail-Adresse zugewiesen wird, bleibt das nicht völlig unbemerkt. In diesem Fall sendet Skype eine Willkommensnachricht an diese E-Mail-Adresse und teilt mit, dass ein neues Skype-Konto eröffnet wurde. Einem Skype-Nutzer war die E-Mail aufgefallen, denn er hatte kein neues Konto eröffnet. Viele Nutzer werden eine unerwartete E-Mail eher als Spam ansehen und sofort löschen.
George A. kontaktierte jedoch den Skype-Support und fragte nach. Dabei kam heraus, dass jemand ein neues Konto mit seiner E-Mail Adresse eröffnet hatte. Er bemängelte, dass in der Willkommensnachricht kein Link enthalten ist, über den die Gültigkeit der Adresse überprüft wird. Den Skype-Support hat das jedoch nicht weiter interessiert.
Dem Skype-Betreiber Microsoft wurden die eigentlichen Ausmaße des Problems wohl erst klar, als in einem russischen Forum eine
//forum.xeksec.com/skype.html#post98725:detaillierte Anleitung auftauchte, die beschreibt, wie aus einem unscheinbaren Fehler eine gravierende Sicherheitslücke wird. Hier wird erklärt, wie man mit einem neuen Konto und einer fremden E-Mail-Adresse, andere Skype-Konten übernehmen kann. Inzwischen wurde die Sicherheitslücke laut The Next Web
behoben. Microsoft hat die Funktion, über die sich Passwörter zurücksetzen lassen, zuerst deaktiviert und dann abgesichert.
Skype-Nutzer sollten jedoch prüfen, ob sie in letzter Zeit unaufgefordert Nachrichten mit Informationen über ein neu eingerichtetes Konto erhalten haben. Es ist in jedem Fall sinnvoll, das Skype-Konto durch eine neues, ausreichend kompliziertes Passwort abzusichern.