Bug di sicurezza: Skype blocca il reset delle password

Skype soffre di una grave vulnerabilità. Non è tanto il celeberrimo client VoIP a contenere la lacuna di sicurezza quanto la procedura per il recupero delle credenziali di accesso. La notizia ha immediatamente fatto il giro del mondo dal momento che un aggressore, per poter far leva sulla problematica appena venuta a galla dovrebbe soltanto conoscere l’username utilizzato dall’utente-vittima e l’indirizzo di posta elettronica impiegati per registrarsi su Skype.

Tutti i dettagli tecnici sulla vulnerabilità di Skype erano apparsi addirittura due mesi fa su un forum russo ma soltanto oggi la scoperta è balzata alle cronache.
Ciò che lascia esterrefatti è la semplicità con cui poteva essere sferrato un attacco nei confronti di qualunque utente registrato al network Skype: utilizziamo l’imperfetto perché il team di sviluppo è appena intervenuto per bloccare qualsiasi ulteriore tentativo d’aggressione.

Sino a qualche ora fa, bastava creare un nuovo account specificando l’indirizzo e-mail di un utente già iscritto a Skype, accedere al network utilizzando le credenziali appena attivate quindi richiedere la reimpostazione della password. A questo punto, l’aggressore poteva impersonificare l’identità altrui ricevendo automaticamente anche i log delle precedenti conversazioni intrattenute con i contatti al momento in linea.

Fortunatamente Microsoft, che adesso detiene la proprietà del network, e Skype ha disabilitato la pagina che consente la reimpostazione della password d’accesso. Skype non provvederà a ripristinarla sintanto che le indagini sull’accaduto non saranno concluse.