Skype存在漏洞 易泄露个人信息

Microsoft公司刚通过禁止密码重置，修复了Skype中的安全缺口。然而直到数月前，如果有人拿着有你的Skype 用户名，以及连接账户的邮箱地址，他就能登录你的Skype，并能获取你过去所有的Skype 数据——包括你最近发送，或收到的任何信息。

两个月前，俄国一家名为Xeksec的网站发布了一则帖子，其上详细罗列各类漏洞利用方法。今日，来自The Next Web的Emil Protalinski再次发布该帖。Protalinski证实，他能够侵入他人的Skype账户。此后，他将此情况反应给Microsoft，又过数小时，向TNW(战术核武器)网站也发出警示。数小时后，Microsoft作出回应，关闭了Skype密码重设站点，杜绝风险。

出乎人们意料，漏洞利用方法其实相当简单。若你知道某人的Skype用户名，并能根据用户名猜测出邮箱地址，基本就能进入Skype。Protalinksi这样解释：

当你使用已有邮箱地址再次注册Skype，客服中心会向你发送邮件提醒，提示用户名为何，若是无人能够登陆你的邮箱，这一举动没有错。不幸的是，通过这一方法，你从Skype处得到密码重置权限，而使第三方却得以收回原始密码，并得到你原始用户名，以及账户的使用权。

若Microsoft不关闭密码重置站点，那么任何人都能够获取你的Skype用户名，以及相应邮箱地址，登录你的账户，再更改密码，并且——这一点最让人讨厌——查阅你所有存储信息，包括消息记录内的发送，或收到的及时消息在内。

上周，Microsoft宣布称，将逐步淘汰Windows Live Messenger，将其功能与通讯并入Skype。Tony Bates 是Microsoft公司的Skype部门负责人，他这样说道：

告诉大家一个好消息!Skype 将与 Messenger合并。而成千上万的Messenger用户，他们能在Skype上与Messenger好友聊天。通过更新Skype，Messenger用户能与好友进行时事通讯，以及视频聊天... 从2013年的第一季度开始，我们将在全球范围内逐步取消Messenger(也有例外，中国大陆的用户仍能继续使用)。

据Protalinski称，俄罗斯的黑客曾向Microsoft反应安全漏洞。显然，直到近日，Protalinkski 再次发帖，将结果公布于众之前，Microsoft 内部无人对其感兴趣。

Skype方面刚刚发布公告，正式承认这一问题：

我们已得出新安全漏洞的调查报告。我们已采取预防措施，临时取消密码重置。就这一问题，我们将进行进一步调查。关于对用户所造成的不便，我们深表歉意，不过，我们优先考虑的仍是用户体验，以及用户安全。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友