Compartir Twittear Pinear 28
14 de noviembre de 2012, 16:59

Hace unas horas fue desvelado un tremendo agujero seguridad en el sistema de recuperación de contraseñas de Skype, uno algo estúpido, casi para "exterminar al programador con fuego", dirían algunos. Básicamente, si alguien sabe el correo electrónico de tu cuenta, al abrir una cuenta nueva pueden utilizarlo para cambiar la contraseña.

Por lo pronto, Microsoft Skype ha inhabilitado su sistema de recuperación de contraseñas. En entrevista para The Next Web:

Hemos tenido reportes de una nueva vulnerabilidad. Como medida precautoria hemos inhabilitado temporalmente el restablecimiento de contraseñas en tanto continuamos investigando el asunto. Ofrecemos disculpas por la inconveniencia, pero la experiencia de usuario y la seguridad son nuestra primera prioridad.

Los usuarios de Skype ya están seguros, al menos por el momento. Antes de la medida asumida por Skype, los usuarios sólo podían defenderse al cambiar su correo de registro por uno desconocido. Parte de lo grave (y tonto) de este problema es que se podía reproducir en seis sencillos pasos, nada más siguiendo el flujo normal del formulario de creación de cuenta nueva:

  1. Abres una cuenta nueva
  2. Usas el mail de una cuenta existente
  3. Abres la aplicación de Skype con esas credenciales
  4. Solicitas la recuperación de contraseña
  5. Skype envía el token de recuperación de contraseña al mail y a la aplicación
  6. Abres el link del token, Skype detecta más de una cuenta asociada a ese mail, eliges el de la víctima: cambias la contraseña

Bruce Schneier, famoso criptógrafo, dice que "la seguridad no es producto, es un proceso". Muy bien, pero para un usuario hackeado de esa manera, vamos, la frase viene dando lo mismo.

Recomendados

Alan Lazalde

Inicié un PhD en Inteligencia Artificial. Soy stallmaniano no practicante de la Iglesia de Emacs (?). Doy clases de programación en Ibero. Tuiteo en (@alanlzd) y @hackstory_. Co-edito Gr3p, un blog de programación. Soy miembro del Laboratorio del Procomún México. Bla. Bla. Bla. Vivo en la Ciudad de México. Más artículos del autor »

Comentarios