Incomprensible. Con este calificativo podríamos definir el inmenso fallo de seguridad que presentaba Skype hasta que se ha cerrado el sistema de recuperación de contraseñas, y que permitía a cualquier persona, solo con conocer el correo electrónico de un usuario de skype, resetear su contraseña y tomar el control de la cuenta de la víctima. Todo ello sin ningún tipo de dificultad.

skype

 

 

A veces al diseñar la seguridad de un sistema, se olvida asegurar los componentes más sencillos y que a priorí no debían ser los más comprometedores, este es el caso de la vulnerabilidad descubierta en Skype, increíblemente simple pero a la vez gravísima.

Para tomar el control de otra cuenta simplemente se tenían que seguir unos sencillos pasos:

  •     Crear una cuenta introduciendo como email el email de la víctima
  •     Logearnos con nuestra cuenta recién creada
  •     Pedir recuperar nuestra contraseña
  •     Skype entonces nos envía el link a nuestro correo y solo tenemos que cambiarlo
        y ya podemos entrar a la cuenta de la  víctima.

Por increíble que parezca, Skype no ponía ningún impedimento a la creación de cuentas con un email que ya era utilizado por otra, una comprobación básica en cualquier formulario de registro. Al parecer, esta vulnerabilidad era conocida desde hace meses pero no ha sido hasta hoy que se ha difundido y ha obligado a Skype a suspender el servicio de recuperación de contraseñas. Esperemos que esta grave vulnerabilidad haga reaccionar a Skype y le ayude a implementar una mucha mayor seguridad en su aplicación.

Fuente