VoIP-Dienst: Sicherheitsleck machte Skype-Konten angreifbar

Im Messaging-Dienst Skype klaffte offenbar eine gewaltige Sicherheitslücke. Die US-Website The Next Web berichtet, mit einfachsten Mitteln hätte jeder beliebige Skype-Account übernommen werden können. Alles, was der Angreifer gebraucht hätte, ist die verknüpfte E-Mail-Adresse.

Skype: Sicherheitslücke erlaubt Account-Übernahme Zur Großansicht
REUTERS

Skype: Sicherheitslücke erlaubt Account-Übernahme

Die Lücke dürfte dem einen oder anderen Skype-Nutzer durchaus Sorgen bereiten. Einem Bericht von The Next Web zufolge ermöglichte ein gewaltiges Sicherheitsleck im Zusammenhang mit der Funktion zum Passwort-Zurücksetzen es beliebigen Angreifern, die Kontrolle über jeden Skype-Account zu übernehmen. Einzige Voraussetzung: Der Angreifer musste die E-Mail-Adresse kennen, die mit dem entsprechenden Account verknüpft ist.

The Next Web zufolge wurde die Lücke schon vor zwei Monaten in einem russischen Internetforum veröffentlicht, den Westen scheint sie erst jetzt erreicht zu haben. Skype erklärte zunächst, es habe seine Passwort-Zurücksetzen-Funktion vorläufig offline genommen und führe eine interne Untersuchung durch. Mittlerweile ist das Problem offenbar behoben.

The Next Web blieb bei der Beschreibung des Vorgehens bewusst etwas vage und verzichtete auf Links und Screenshots, "weil der Trick sehr leicht zu reproduzieren ist". Der Angriff begann offenbar damit, dass man mit der bekannten E-Mail-Adresse des Accounts, den man übernehmen wollte, einen neuen Account anlegte, der wiederum mit der eigenen E-Mail-Adresse verknüpft wurde. Mit einigen weiteren Schritten habe man dann einen Punkt erreicht, an dem man "mit einem Passwort-Reset-Token Zugriff auf den Zielaccount bekommt", offenbar auf dem Umweg über eine Skype-App auf einem Handy oder Tablet-Computer.

Dann habe man dort nach Belieben das Passwort ändern oder im Namen des Opfers Skype-Nachrichten verschicken können. The Verge berichtete, man habe die Testübernahme, über die The Next Web berichtet, eigenhändig nachvollziehen können.

Skype reagierte auf den Bericht zunächst mit der folgenden Stellungnahme: "Uns haben Berichte über eine neue Sicherheitslücke erreicht. Als Vorsichtsmaßnahme haben wir die Passwort-Reset-Funktion vorübergehend deaktiviert, während wir das Problem gründlicher untersuchen. Wir entschuldigen uns für die Unannehmlichkeiten, aber Nutzererfahrung und Sicherheit sind unsere oberste Priorität."

Mittlerweile ist die Zurücksetz-Seite wieder freigeschaltet und auch benutzbar. Skypes PR-Agentur teilte auf Anfrage von SPIEGEL ONLINE mit, das Problem sei mittlerweile behoben.

Skype gehört seit Mai 2011 zu Microsoft Chart zeigen. Der Windows-Konzern kaufte den Messaging-Dienst damals für 8,5 Milliarden Dollar.

cis

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks teilen

  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Skype
RSS

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

SPIEGEL ONLINE Schließen


  • Drucken Versenden
  • Nutzungsrechte Feedback
  • Zur Startseite

E-Book-Tipp
  • Christian Stöcker:
    Spielmacher
    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    Kindle Edition: 1,99 Euro.

  • Einfach und bequem: Direkt bei Amazon bestellen.