Hace unas horas fue desvelado un tremendo agujero seguridad en el sistema de recuperación de contraseñas de Skype,
uno algo estúpido, casi para “exterminar al programador con fuego”,
dirían algunos. Básicamente, si alguien sabe el correo electrónico de tu
cuenta, al abrir una cuenta nueva pueden utilizarlo para cambiar la contraseña.
Por lo pronto, Microsoft Skype ha inhabilitado su sistema de recuperación de contraseñas. En entrevista para The Next Web:
Hemos tenido reportes de una nueva vulnerabilidad. Como medida precautoria hemos inhabilitado temporalmente el restablecimiento de contraseñas en tanto continuamos investigando el asunto. Ofrecemos disculpas por la inconveniencia, pero la experiencia de usuario y la seguridad son nuestra primera prioridad.
Los usuarios de Skype ya están seguros, al
menos por el momento. Antes de la medida asumida por Skype, los
usuarios sólo podían defenderse al cambiar su correo de registro por uno
desconocido. Parte de lo grave (y tonto) de este problema es que se
podía reproducir en seis sencillos pasos, nada más siguiendo el flujo
normal del formulario de creación de cuenta nueva:
- Abres una cuenta nueva
- Usas el mail de una cuenta existente
- Abres la aplicación de Skype con esas credenciales
- Solicitas la recuperación de contraseña
- Skype envía el token de recuperación de contraseña al mail y a la aplicación
- Abres el link del token, Skype detecta más de una cuenta asociada a ese mail, eliges el de la víctima: cambias la contraseña
Bruce Schneier, famoso criptógrafo, dice
que “la seguridad no es producto, es un proceso”. Muy bien, pero para un
usuario hackeado de esa manera, vamos, la frase viene dando lo mismo.
No hay comentarios:
Publicar un comentario