Datenschutz

Skype-Sicherheitslücke begünstigt Account-Diebstahl

Durch eine Sicherheitslücke ist es Angreifern möglich, Skype-Accounts fremder Nutzer über die Kennwort-Wiederherstellung zu übernehmen. Lediglich die mit dem Konto verknüpfte E-Mail-Adresse ist notwendig. Die Betreiber haben den Passwort-Reset vorübergehend deaktiviert.

skype.com-Starbildschirm

© skype.com

skype.com-Starbildschirm: Wer aktuell versucht, sein Passwort zurückzusetzen, der kommt nicht weiter.

Die Telekommunikations-Software Skype bietet Angreifern ein wohl in Internetforen bereits länger bekanntes Sicherheitsleck. Mit diesem lässt sich ein fremdes Skype-Konto einfach übernehmen - und das lediglich mit Kenntnis einer mit dem jeweiligen Konto verknüpften E-Mail-Adresse. Das Problem ist dabei die Passwort-Wiederherstellung des VoIP-Dienstes (Voice-over-Internet-Protocol) von Microsoft. Die Betreiber haben das System zum Zurücksetzen des Passworts vorübergehend deaktiviert und gehen dem Problem nach.

Fordert ein Angreifer über den Menüpunkt "Passwort vergessen" beziehungsweise "Skype-Name vergessen?" eine Zurücksetzung des Kennwortes, wird nicht nur eine E-Mail an das jeweilige Konto verschickt. Die Skype-Server senden zusätzlich ein sogenanntes Sicherheits-Token an den Client-Rechner, das sich abfangen lässt. Kennt der Angreifer nun die entsprechende E-Mail-Adresse und hat ein wenig Erfahrung, kann er das Passwort zurücksetzen lassen und infolgedessen einen neuen Zugangscode vergeben. Wird anschließend ein neues E-Mail-Konto verknüpft, ist der Account vollständig übernommen.

Ratgeber: Die besten Windows-Sicherheitstipps

Die Betreiber von Skype sind sich des Problems bewusst und arbeiten laut eigenen Aussagen an einer schnellen Lösung. In der Zwischenzeit wurde das Kennwort-Wiederherstellungssystem offline genommen. Ehrliche Nutzer, die ihr Passwort tatsächlich vergessen haben, müssen sich entsprechend gedulden. Gegenüber The Next Web ließ der Skype-Betreiber verlauten: "[...] Wir haben die Kennwortwiederherstellung als Vorsichtsmaßnahme temporär deaktiviert, während wir der Sache weiter nachgehen. Wir entschuldigen uns für die Unannehmlichkeiten[, die durch das Offline-nehmen der Kennwort-Wiederherstellung entstehen]. Die Nutzererfahrung und -Sicherheit sind unsere erste Priorität."

Mehr zum Thema

image.jpg
Account-Sicherheitslücke behoben

Skype hat am Mittwochabend bekannt gegeben, die klaffende Sicherheitslücke im Kontopasswort-Wiederherstellungsprozess behoben zu haben. Mit wenigen…
Shylock hat es auf die Daten für das Online-Banking abgesehen. Die Verbreitung läuft via Skype.
Banking-Trojaner

Eine neue Variante des Schädlings Shylock kann sich nun auch über den Instant Messenger Skype sowie über USB-Sticks verbreiten. Shylock spioniert…
Malware: Cyberkriminelle nutzen Skype, um Bitcoins zu generieren.
Messenger-Schädling

Ein neuer Schädling nutzt Skype als Verbreitungsweg. Er nutzt den Prozessor infizierter Rechner, um Bitcoins zu generieren, eine digitale Währung.
Skype
Schwerer Bug

Nutzer von Skype auf Windows, Android und iOS sollten sich vor einem schweren Bug in Acht nehmen. Eine Nachricht mit einer bestimmten Zeichenkette…
Cyberkriminelle sind aktuell mit Phishing-Mails hinter Paypal-Kunden her.
Spam-Mail

Im Namen von Amazon verschicken Betrüger E-Mails, die auf ein angeblich neues Sicherheitssystem hinweisen. Dabei handelt es sich aber um eine…