Как не стать жертвой уязвимостей?

Как не стать жертвой уязвимостей?

Совсем недавно весь мир облетела тревожная весть – в популярной программе для голосового и видео чата Skype обнаружена серьезная уязвимость, которая позволяла взломать учетную запись любого пользователя, даже не обладая хакерскими навыками. Ошибка, допущенная разработчиками, сделала возможным взлом Скайпа через банальный сервис восстановления забытого пароля. Для этого достаточно знать всего лишь электронный адрес пользователя, на которого зарегистрирован аккаунт Skype.


Как сообщил хакер, обнаруживший данную уязвимость, получить доступ к чужой учетной записи мог даже человек, очень далекий от программирования и высоких технологий вообще. Для того чтобы это сделать, нужно зарегистрировать новый аккаунт в Skype с e-mail адресом, прикрепленным к существующей учетной. Здесь заметно первое слабое звено в защите VoIP службы – пользователю не нужно подтверждать, что именно он владеет указанным при регистрации адресом электронной почты.


Далее необходимо авторизоваться в самом клиенте Skype с помощью только что созданной учетной записи, а затем открыть форму для восстановления забытого пароля. В итоге этого действия в клиенте всех авторизованных пользователей, которые используют данную электронную почту, появится ссылка на форму для смены пароля.


Пройдя по полученной ссылке, злоумышленник может легко сменить как собственный пароль, так и пароль жертвы. Таким образом, он получает возможность, к примеру, рассылать спам-сообщения. А сама жертва потеряет доступ к своему аккаунту.


Буквально через несколько часов после обнаружения уязвимости компания Microsoft заблокировала доступ к форме восстановления паролей, обезопасив таким образом своих пользователей от возможного взлома. Сколько же всего было украдено учетных записей за время широкого распространения информации об уязвимости, неизвестно.


Можно назвать несколько причин, из-за чего рядовые пользователи Skype стали жертвами этого инцидента. Во-первых, это, как было сказано выше, отсутствие подтверждения того, что электронный ящик, на адрес которого производится регистрация, на самом деле принадлежит самому пользователю. В итоге – возможность завести неограниченное число аккаунтов на одну почту.


Отсюда вытекает ошибка разработчиков №2 – возможность регистрировать множество учетных записей на один-единственный e-mail. В большинстве клиентов, социальных сетях или форумах подобные вещи невозможны. И не в последнюю очередь из-за соображений безопасности.


И конечно же, нельзя не упомянуть о невнимательности самой Microsoft. Все перечисленные выше ошибки достаточно банальны и очевидны. Почему до сих они не были устранены в Skype остается загадкой. Единственное, что радует – компания оперативно отреагировала на информацию о взломах, сначала заблокировав форму восстановления паролей, а затем в течение одного дня устранив критическую уязвимость. Так что на данный момент эта угроза более не актуальна.


Но тем не менее, и нам, обычным пользователям Skype, стоит сделать соответствующие выводы. Первый и самый главный – как можно реже выкладывать в свободный доступ свои личные и контактные данные, особенно те e-mail адреса,  на которые зарегистрированы важные для вас аккаунты. Как показывает практика (и этот инцидент в частности), уже этой информации может оказаться достаточно, чтобы взломать вашу учетную запись.


Роман Идов, ведущий аналитик компании SearchInform:

К сожалению, никто из нас не застрахован от наличия уязвимостей в ежедневно используемом нами программном обеспечении, поэтому потенциально все мы можем стать жертвой злоумышленников. Тем не менее, если вы не выкладываете в общий доступ значительное количество личных данных, то злоумышленникам будет сложнее украсть ваши учетные записи или применять к вам приемы социальной инженерии. К примеру, если вы пишете свои почту, номер телефона или Skype на визитке, то всегда знаете, кому вы передаете эти данные. В то же время, когда они размещены в соцсети, то никто не скажет, кто ими воспользуется и для чего. Поэтому в социальной сети нет необходимости писать все эти данные – там ведь и так есть возможность связаться с вами, а мошенники могут их использоваться в своих целях.