Vulnerabilitate în Skype ce permite spargerea contului știind doar adresa de email

[B7ackAnge7z]

La naiba — nici nu îmi venea s? cred, pân? nu am testat.

Deci:

1. Înregistr?m un nou cont Skype folosind emailul victimei (va ap?rea notificare precum c? ai deja cont cu acest email — nu te descuraja, mergi mai departe).
   
2. Dup? ce complet?m formularul WEB, desc?rc?m Skype-ul ?i ne log?m folosind datele noului cont. ?inem Skype-ul la vedere — nu-l închidem
   
3. În regim incognito deschidem aceast? pagin? https://login.skype.com/account/password-reset-request ?i introducem emailul victimei.
   
4. A?tept?m. Vine notificare pe Skype, ceva legat de „Password Token”. Click. Se deschide Skype-ul. Nimic? Ap?s?m F5. Nimic? Iar??i F5... Hopa, apare mesajul cu „Password Token” — click pe URL f?r? s? ezit?m.
   
5. Pe pagina ce se deschide introducem email-ul victimei. Alegem contul de Skype (desigur, nu cel ce l-am creat cu 5 minute în urm?), Next ?i „Voila!” — avem posibilitatea s? introducem o parol? nou?.
   
6. Dup? ce schimb?m parola, ne log?m pe Skype folosind loginul victimei ?i parola abia introdus?.
   
7. Din set?ri ad?ug?m o nou? adres? de email ?i...
   
8. PROFIT!
   

UPD: Îmi pare r?u, dar trebuie s? te anun? c?, vulnerabilitatea a fost reparat?... ?i, colac peste pup?z?, nici Mo? Cr?ciun nu exist?.

Edited November 15, 2012 by B7ackAnge7z

[Guest Kovalski]

Superb!

Multumesc de informatie.

[blech]

se poate afla cumva adresa de mail de pe care a fost inregistrat?

[B7ackAnge7z]

se poate afla cumva adresa de mail de pe care a fost inregistrat?

Nu cred c? e posibil.

Încearc? aici poate g?se?ti ceva interesant.

[Domnul.Do]

Incerc sa recreez gandirea respectivului cine o aflat aceasta metoda,dar pasul 4 este absurd (diferenta dintre o gandire normala si una anormala este : sa faci aceasi actiune de mai multe ori si sa te astepti la un rezultat diferit)

[SKYNET32]

"În regim incognito" unde e asta?

[sandabot]

"În regim incognito" unde e asta?

CTRL+SHIFT+N in Chrome

Super informatia btw .

[B7ackAnge7z]

sa faci aceasi actiune de mai multe ori si sa te astepti la un rezultat diferit)

Cei ce creeaz? conturi Skype pot observa când se schimb? datele de pe pagina de pornire (cu acela?i succes po?i s? adaugi un prieten la lista de contacte).

"În regim incognito" unde e asta?

Se refer? la browser ?i îl g?se?ti în set?ri. De asemenea, po?i ?terge toate fi?ierele cookie ?i cache-ul.

[B7ackAnge7z]

Ar fi mai placut pentru toti, daca ai face un video:

firefox & chrome.

<sarcasm>

Am o idee mai bun? — voi îmi da?i adresele de email, iar eu v? sparg conturile de Skype.

</sarcasm>

[mrreboot]

Pare destul de interesanta chestia asta.

[endemic]

nu ai vrea sa va deseneze ?

[Fog]

interesanta idee , am incercat si am reusit

[B7ackAnge7z]

Pare destul de interesanta chestia asta.

Interesant?? Eu a? spune periculoas?

Lumea se plânge c? în ultima s?pt?mân? au r?mas f?r? conturi ?i convorbiri private.

nu ai vrea sa va deseneze ?

Bun? idee. Cred c? o s? fie un tablou pictat în ulei pe pînz?.

[Fog]

Micul Picasso afiseaza un desen cu mai multe pictograme sau pasi cum poate fi hackat id Skype !

[Fog]

Micul Picasso

[just-for-funn]

Nu am reusit decat sa fac un alt cont pe adresa de mail, de acolo m-am blocat cand am intrat pe: https://login.skype.com/account/password-reset-request ma trimis pe alt link:https://secure.skype.com/portal/overview

[bentehau2]

Security Issue

By Leonas Sendrauskas on November 14, 2012.

We have had reports of a new security vulnerability issue. As a precautionary step we have temporarily disabled password reset as we continue to investigate the issue further. We apologize for the inconvenience but user experience and safety is our first priority

aka fixed.

[Guest Kovalski]

Asa se intampla cand focul, ajunge pe mana babuinilor!

Edited November 14, 2012 by ps-axl

[1000DotS]

Mda....s-au bucurat astia prea putin...

Cred ca se laudau: sa vezi, am spart un cont de skype....sa vezi ce haker bun is...

Noobi...

[B7ackAnge7z]

Din câte cunosc eu, despre vulnerabilitate se ?tia de pe la începutul verii. ?i cu siguran?? nu ajungea în public dac? cu ceva timp în urm? nu ar fi fost spart contul unuia „mai priceput” care a în?eles cum st? treaba. Plus, în ultimele s?pt?mâni tot mai multe persoane se trezeau cu contul spart ?i email-ul plin de notific?ri de resetarea parolei.

Edited November 14, 2012 by B7ackAnge7z

[co4ie]

Tutorial aveti AICI

Au inchis for-ul de resetare de la 12 ora romaniei .. asa ca degeaba s-a facut publica vulnerabilitatea daca o repara pe loc ...

[B7ackAnge7z]

Tutorial aveti AICI

Au inchis for-ul de resetare de la 12 ora romaniei .. asa ca degeaba s-a facut publica vulnerabilitatea daca o repara pe loc ...

Pentru prima dat? în public vulnerabilitatea a fost postat? aici ieri la orele ~17 (ora României).

În orice caz, developerii s-au mi?cat foarte greu pân? au oprit resetarea parolelor.

[blackboy-1337-]

Skype salveaza convorbirile ?

[io.kent]

depinde de setari, si stai calm, ca mai mult ca sigur se filtreaza, convorbirile, asa ca precautie..

[electrotech93]

baa si ce am crezut k merge ? da cand pun maimutoii pe ceva vulnerabilitate nu tine mult , asa am patit eu cu un sql un javascript cu http header frumos si ghiciti cate zile a tinut? 2 pana careva babuin de aici a raportat. Deci eu sunt de parere Club ShowOff trebe inchis , fac babuinii bani pe urma noastra si se dau ce intelectuali sunt ei