Tecnologia

Skype, il tuo account può essere rubato. Basta un indirizzo email

Due mesi fa un forum russo ha scoperto una falla nella sicurezza di Skype. Oggi è stata confermata, per rubare un account bastano poche semplici mosse

(Aggiornamento (15/11/2012): Skype ha annunciato di aver tappato la falla che aveva consentito la sottrazione di alcuni account. Nel farlo ha sottolineato che il numero di account interessati dal problema di sicurezza è stato esiguo e che gli account colpiti sono stati precauzionalmente sospesi. I proprietari di account rubati hanno tutti ricevuto una email con le istruzioni per riappropriarsi del proprio account.)

A quanto pare, per disarcionarti dal tuo account Skype basta un indirizzo mail, il tuo. La falla era stata resa nota già due mesi fa su un forum russo ma è stata confermata solo in queste ore, quando alcuni collaboratori di The Next Web hanno provato a rubarsi a vicenda un account utilizzando semplicemente l’indirizzo email della vittima.

Per ragioni di sicurezza, gli step necessari a effettuare “il colpo” non sono stati resi noti, ma a quanto pare si tratta di un’operazione pericolosamente semplice. Sostanzialmente, funziona così: l’utente che vuole impadronirsi di un account di cui conosce la mail correlata utilizza quell’indirizzo email per creare un nuovo account a cui collegare anche il suo indirizzo email personale (a cui dunque ha accesso). Poi, con poche altre manovre si ritrova in grado di ottenere un token d’autenticazione per risettare la password. Con quel token sarà in grado di accedere all’account della vittima e sarà libero di farne ciò che vuole.

La cosa curiosa, spiegano gli “hacker per un giorno” di TNW, è che per portare a casa il risultato non hanno nemmeno avuto bisogno di conoscere il nome utente della vittima. Non solo, dal momento che il token d’autenticazione può essere ottenuto anche attraverso l’app di Skype, il “predatore” è stato in grado di disarcionare il proprietario dal suo account prima che questo avesse il tempo di ricevere la mail di notifica e provvedere a tutelarsi.

Se avete un account Skype e ci tenete parecchio alla privacy, probabilmente in questo momento vi starete attrezzando per blindare il vostro account, magari cambiando l’indirizzo di riferimento con uno meno conosciuto (o meno intuibile). Sarebbe un’ottima mossa, non fosse che, ricevuta notizia del problema, Skype ha già sospeso la funzionalità di reset della password.

Siamo stati informati di una nuovo problema di vulnerabilità del nostro sistema di sicurezza” si legge in un comunicato ufficiale diramato da Skype “Per precauzione abbiamo temporaneamente disabilitato il reset della password mentre continuiamo a investigare sul problema.

Non è la prima volta che Skype si ritrova in una situazione simile. Lo scorso aprile aveva fatto notizia un’altra falla della sicurezza che aveva però a che fare con gli indirizzi IP. In realtà, il sistema di gestione della sicurezza (e della privacy) di Skype è sotto il microscopio da tempo , e da quando è stata acquisita da Microsoft, le critiche hanno ottenuto una risonanza senza precedenti.

Da poco, inoltre, Skype ha raccolto il testimone di Windows Live Messanger. L’inizio, almeno sul fronte sicurezza, non è stato dei migliori. Ma confidiamo che questo scivolone aiuterà Skype dotarsi di un antifurto all’altezza del nome che porta.

I più letti

avatar-icon

Fabio Deotto