Una de las plataformas más populares del momento, y épicamente a cargo de Microsoft, ha reconocido el día de hoy un fallo terrible en su seguridad. Si bien el fallo no implica un error directo como tal, es una vulnerabilidad bastante predecible que ha puesto en evidencia la capacidad de sus programadores.
El fallo, error o vulnerabilidad (como gusten llamarlo) consiste básicamente en que cuando un usuario malintencionado conoce el correo electrónico registrado en la cuenta de otro usuario podrá utilizarlo para cambiar la contraseña de la víctima; a detalle podemos razonar que este error no implica tanto conocimiento de programación puesto que cualquier persona podría explotar el fallo, simplemente un error de lógica.
Para un análisis más preciso, se ha reportado el fallo al seguir una serie de pasos:
- Crear una cuenta en Skype utilizando el correo electrónico de la víctima (una cuenta existente).
- Acceder a la cuenta creada utilizando el correo electrónico de la víctima.
- Solicitar la recuperación de contraseña; aquí el sistema enviará un token de acceso al correo electrónico, a su vez también a la aplicación (cliente).
- Al acceder al token, Skype desplegará la información de las dos cuentas asociadas al correo por lo que basta con seleccionar la cuenta de la víctima para cambiar su contraseña.
Por lo pronto Skype ya ha reconocido el error, razón por la cual además han deshabilitado el cambio de contraseña temporalmente. Uno de los criterios adicionales a cuestionar, es el hecho de porqué Skype permite crear más de una cuenta con el mismo correo electrónico.
Fuente: The Next Web.