Muchas veces nos podemos preguntar cómo realizan las pruebas de seguridad los equipos de desarrollo de las distintas aplicaciones que usamos a diario. Por que fallos de seguridad tan graves como para tomar el control de una cuenta solo sabiendo el correo electrónico vinculado a un nombre de usuario es bastante serio.
Una vez que se conocía el nombre de la cuenta y el correo electrónico asociado a ella, se podía dar de alta una nueva cuenta con el correo vinculado a ella. Después de un par de pasos adicionales, se podía usar el reseteo de la contraseña para obtener acceso a la cuenta de Skype atacada.
Parece que Skype ha eliminado temporalmente la posibilidad de resetear la contraseña mientras investigan esta vulnerabilidad. La verdad es que Microsoft tiene un largo historial de vulnerabilidades en sus aplicaciones, pero últimamente lo estaban haciendo mejor. Pero esta les vuelve a poner en el punto de mira, y no ofrece mucha confianza sobre Skype. Aunque obviamente, este tipo de cosas ocurren a diario en todas las aplicaciones, pero muchas veces ni nos enteramos.
Actualización: Microsoft informa de que el fallo de seguridad ya está arreglado. Bueno, al menos esta vez no les ha llevado demasiado tiempo. Han emitido el siguiente comunicado al respecto, indicando que han contactado con los usuarios que puedan haber sufrido este ataque.
"Early this morning we were notified of user concerns surrounding the security of the password reset feature on our website. This issue affected some users where multiple Skype accounts were registered to the same email address. We suspended the password reset feature temporarily this morning as a precaution and have made updates to the password reset process today so that it is now working properly. We are reaching out to a small number of users who may have been impacted to assist as necessary. Skype is committed to providing a safe and secure communications experience to our users and we apologize for the inconvenience."