本日、Skypeに重大なセキュリティホールが発見されました。パスワード回復ツールを使ってアカウントを簡単に乗っ取られる可能性があるのです。一番恐ろしいのは、あなたのアカウントを完全に制御するために必要なのはメールアドレスだけということです!
TheNextWebに詳細が書かれています:
この脆弱性を悪用するには、被害者のSkypeアカウントに紐付けられたメールアドレスさえ知っていれば十分です。身を守るためには、メールアドレスを誰にも知られず、簡単に推測できないものに変更する必要がありますが、おそらくMicrosoftは、それが必要になる前に問題を修正するでしょう。
攻撃を段階的に再現し、TNWライターのジョシュ・オン氏(許可を得て)と編集者のマット・ブライアン氏(再確認のため)のSkypeアカウントに、メールアドレスのみでアクセスすることに成功しました。基本的には、そのメールアドレスを使って、自分のメールアドレスと紐付けられた新しいアカウントを作成します。そして、いくつかの重要な手順を踏むだけで、パスワードリセットトークンを使って標的のアカウントにアクセスできるようになります。
幸いなことに、Microsoftは迅速に行動し、一時的にパスワードリセットを無効化し、問題は解決しました。しかし、これはユーザーにとって警鐘となるはずです。Skypeをご利用の方は、パスワードを変更してアカウントを保護することをお勧めします。
マイクロソフトは、問題に対処したことを明らかにする公式声明を発表しました。
新たなセキュリティ脆弱性に関する報告を受けております。予防措置として、引き続き調査を進めるため、パスワードリセットを一時的に無効にいたしました。ご不便をおかけして申し訳ございませんが、ユーザーエクスペリエンスと安全を最優先に考えております。
怖いもの!
