Сегодня с коллегами узнали один преинтереcнейший факт о скайпе. Оказывается, скайп легко взломать и получить доступ к аккаунту и личной переписке любого абонента. Кратко о том, как это работало (скорее всего, дыру уже прикрыли и ничего повторить не удастся, но важен сам факт), эта статья.
Смысл в том, что в скайпе у одного email может быть несколько аккаунтов. Также и к аккаунту можно проверить несколько емайл, один основной, остальные резервные. Первое сделано для удобства пользователя, а второе - вдруг кто потеряет единственный емайл.
Так вот, можно было зарегистрировать новый аккаунт на уже имеющийся в системе емайл. Система, конечно же, ругалась, но ее посылали куда подальше и она проглатывала емаил-дубликат.
Далее, прикидываемся, что мы забыли пароль и начинаем процедуру восстановления. Скайп добрый, он нам давал возможность выбрать из списка имеющихся у нас аккаунтов, к какому восстановить пароль. Выбрав аккаунт жертвы, мы получали ссылку на восстановление прямо в окно скайпа. То есть нам даже не нужен доступ к емайл жертвы. На тот емайл, конечно же, тоже придет письмо на восстановление, ну и что, доступ-то мы уже поимели и вошли в аккаунт жертвы, прочитав всю переписку.
Таким образом, чтобы взломать скайп нужно было знать только email жертвы, причем даже без пароля. Поэтому для скайпа рекомендуется установить такой емайл, о котором никто не знает.
Как программист и проектировщик я тут вижу явные ошибки проектирования:
-
Емайл нужно валидировать всегда, то есть проверять, есть ли у нового пользователя к нему доступ или нет, и только потом туда что-то слать, а тем более ссылки на восстановление пароля.
-
Если кто-то уже подтвердил емайл, то нельзя давать возможность создания аккаунта с таким же емайлом
-
Если для восстановления пароля используется емайл, то не надо задействовать другой канал связи, в данном случае — мессенджер.
Надеюсь, разработчики майкрософт скоро разберутся с проблемой и устранят этот нелепый баг. А мы возьмем этот случай хозяйке на заметку: надо внимательнее проектировать.