Comments 400
Попробовал зарегистрировать новый скайп на свой мейл:
Вы уже зарегистрированы в Skype.Как тогда работает первый пункт:
Мы можем выслать вам по электронной почте ваш логин Skype, и после этого вы сможете выбрать новый пароль. Если же вы хотите зарегистрировать новый логин Skype, продолжайте заполнение этой формы.
Регистрируется новый скайп на e-mail жертвы.
> Если же вы хотите зарегистрировать новый логин Skype, продолжайте заполнение этой формы.
Это разве не ответ?
Это разве не ответ?
На мой старый почтовый адрес регестрировали Skype ID все косу не лень, я так и не понял почему. Может у вас аккаунт связан с Live ID?
чёрный пиар такой чёрный
А по ссылкам в письмах ходили? Пароли не вбивали случайно там, может это снифинг был?
Если ходили, то надо смотреть RFC заголовки писем.
Если ходили, то надо смотреть RFC заголовки писем.
UFO just landed and posted this here
Просто знать e-mail адрес на который зарегистрирован скайп, доступ к нему конечно же не нужен:)
UFO just landed and posted this here
Токен для восстановления пароля присылают не только на почту хозяина аккаунта, но и в скайп-клиент злоумышленника.
Всё работает, проверено.
Минусующие верхние комментарии, спуститесь вниз — там уже куча народу проверило и отполировало технику.
Всё работает, проверено.
Минусующие верхние комментарии, спуститесь вниз — там уже куча народу проверило и отполировало технику.
UFO just landed and posted this here
Для удобства. Наверное, нововведение Микрософта.
Вот здесь с иллюстрациями.
С тех пор как скайп купила Microsoft?
Блин, мне аж самому противно от такого шаблона, но как есть :)
Блин, мне аж самому противно от такого шаблона, но как есть :)
Достаточно знать. Меняем мы мыло уже на вновь зарегестрирванном скайпе.
И чо дальше?
наверно это
support.skype.com/ru/faq/FA109/a-ne-pomnu-parol
support.skype.com/ru/faq/FA109/a-ne-pomnu-parol
И чо дальше?
я понятия не имею. и вообще все как-то сомнительно…
может быть намекают на эту часть?
других способов без доступа к почте владельца аккаунта я там не вижу
может быть намекают на эту часть?
Я больше не пользуюсь адресом электронной почты, указанным мной при создании учетной записи Skype, при этом я пользовался (пользовалась) хотя бы одним платным продуктом Skype
Если вы в прошлом оплачивали продукты Skype, однако больше не используете адрес электронной почты, указанный вами при регистрации, обратитесь в наш отдел обслуживания клиентов. Сообщите специалистам отдела свой новый адрес электронной почты, чтобы они могли зарегистрировать его в Skype. После того как вы получите уведомление о том, что ваш зарегистрированный адрес электронной почты изменен, выполняйте инструкции выше, чтобы восстановить свой пароль.
других способов без доступа к почте владельца аккаунта я там не вижу
UFO just landed and posted this here
А дальше, насколько я понял, какой-то магией мы получаем восстановление пароля от другого акка на наше мыло. Или еще что-то, не очень понял.
Майкрософт? Что-то я не помню, чтобы такие дырки были у них раньше.
То есть Вы тестировали эту уязвимость раньше и раньше её не было?
Нет, я и скайпом-то не пользуюсь. Я к тому, что всякая штука в скайпе посыпалась почти сразу же после того, как ms поубивала p2p и утащила всё на свои сервера.
Мне не совсем понятно, как уязвимость в восстановлении пароля пользователя на е-мейл может быть связана с переходом от peer-to-peer на серверный backend. Вы не объясните?
Ну например криворукостью программеров, «забывших» стребовать конфирмейшн при миграции?
Миграции чего??
Account management и раньше не был peer-to-peer, как и восстановление пароля — все работало через веб.
Account management и раньше не был peer-to-peer, как и восстановление пароля — все работало через веб.
Миграции бизнеса под MS, например. Или вы думаете MS просто отвалила 8 ярдов и сказала «пусть всё будет по-старому»?
Понятно, что инфраструктура Skype будет интегрироваться Майкрософтом в свои инфраструктуры. Так, например, доставка сообщений уже не является p2p процессом, а для этого используется backend на тех relay-серверах, что раньше использовались для windows messenger. Благодаря этому, например, стало можно получать сообщения, посланные офф-лайн и читать архив сообщений.
Но если взять именно ту часть системы, которая была исходно в Skype для работы с данными пользователя, то она и раньше была не p2p, а значит необходимости в миграции здесь не было изначально. Да, можно предполагать, что эта часть функционала могла быть переписана в плане улучшения и это привнесло уязвимость — но это просто предположение, ничем не подкрепленное, как и предположение о «криворукости программистов».
Используя теорию вероятности, вероятность того, что оба эти предположения верны является произведением вероятности обоих предположений, что делает данный сценарий очень маловероятным в моих глазах и заставляет рассматривать Ваше предположение как попытку троллинга.
Но если взять именно ту часть системы, которая была исходно в Skype для работы с данными пользователя, то она и раньше была не p2p, а значит необходимости в миграции здесь не было изначально. Да, можно предполагать, что эта часть функционала могла быть переписана в плане улучшения и это привнесло уязвимость — но это просто предположение, ничем не подкрепленное, как и предположение о «криворукости программистов».
Используя теорию вероятности, вероятность того, что оба эти предположения верны является произведением вероятности обоих предположений, что делает данный сценарий очень маловероятным в моих глазах и заставляет рассматривать Ваше предположение как попытку троллинга.
Чем пользуетесь?
Да ладно, а как же Hotmail?
У них — это у скайпа. И до покупки MS. Про «безопасность» MS мы все помним со времён autorun.inf и ActiveX.
Хм, а в чем тут проблема Майкрософт?
По моему обе технологии исходно были «небезопасными» и каждому, кто их использовал, это было понятно.
Но ActiveX был очень удобным в ту эпоху, когда веб-приложения использовали Ява-Скрипт только для запуска ActiveX…
По моему обе технологии исходно были «небезопасными» и каждому, кто их использовал, это было понятно.
Но ActiveX был очень удобным в ту эпоху, когда веб-приложения использовали Ява-Скрипт только для запуска ActiveX…
Неправильно вас понял, подумал что у них — это у MS.
Про — скайп сложно сказать, учитывая суровую анальную оккупацию кода и протокола, шифрование всего и вся и жуковатость авторов скайпа; полне может оказаться что в программе есть «жучки» и в один прекрасный день все компьютеры превратятся в зомби, ну или в тыкву, как захотят какие-нибудь плохие ребята.
Про — скайп сложно сказать, учитывая суровую анальную оккупацию кода и протокола, шифрование всего и вся и жуковатость авторов скайпа; полне может оказаться что в программе есть «жучки» и в один прекрасный день все компьютеры превратятся в зомби, ну или в тыкву, как захотят какие-нибудь плохие ребята.
Автор, откуда сведения о последовательности действий? Как-то туманно все.
Собственно у меня у самого скайп уводили таким способом, плюс у многих моих партнеров и клиентов тоже происходило подобное.
Вот еще несколько скриншотов с почтовых ящиков жертв(мной бага в первый раз была замечена летом):
http://screenshot.ru/html/11.13.12_23:00:43_210be0fe.html
http://screenshot.ru/html/11.13.12_23:06:50_48247500.html
http://screenshot.ru/html/11.13.12_23:10:36_64dafe3f.html
Естественно скриншотов с почты злоумышленника нет, о том что происходит дальше — можно только догадываться.
Вот еще несколько скриншотов с почтовых ящиков жертв(мной бага в первый раз была замечена летом):
http://screenshot.ru/html/11.13.12_23:00:43_210be0fe.html
http://screenshot.ru/html/11.13.12_23:06:50_48247500.html
http://screenshot.ru/html/11.13.12_23:10:36_64dafe3f.html
Естественно скриншотов с почты злоумышленника нет, о том что происходит дальше — можно только догадываться.
у меня у самого скайп уводили таким способом
Как удалось вернуть свой аккаунт?
UFO just landed and posted this here
>Внимание! Сменить через саму программу skype основной e-mail нельзя! Только через сайт!
На сайте можно только ещё одно мыло добавить, сменить primery мыло или удалить вообще, у меня что-то не получается. Это у меня руки кривые или там какая-то хитрость?
На сайте можно только ещё одно мыло добавить, сменить primery мыло или удалить вообще, у меня что-то не получается. Это у меня руки кривые или там какая-то хитрость?
Из линуксовой версии скайпа мыло менять даёт, но на сайте ни черта не меняется. Только зря поле Last Name (раньше не было обязательным) заполнил.
Там криво всё. Добавляете еще один адрес, сохраняете. ф5. нажимаете «добавить ещё мыло» и справа появится круглая штука которой можно установить праймари мыло, а старое удаляете. Сохраняете.
1. Добавляем новое мыло, save
2. Жмем make primary, save
3. Удаляем старое мыло, просто удаляем текст из строки, save
2. Жмем make primary, save
3. Удаляем старое мыло, просто удаляем текст из строки, save
Сейчас менял основной адрес электронной почты, появилось окошко с просьбой ввести пароль, это значит, что дыру прикрыли?
А был ли вообще мальчик?
Кстати да, у меня несколько аккаунтов скайпа на одном мыле, при смене оного, соответственно, один за собой остальные не потянул.
еще как был. только что взломал собственный аккаунт…
Тогда было бы хорошо увидеть нормальную последовательность действий :-) В исходном посте только одни догадки и недомолвки.
ps: в вашем сообщении внизу скрин страницы скайпа, а как получить ссылку на эту страницу-то?
«Когда переходите по ссылке восстановления пароля» — откуда её взять?
ps: в вашем сообщении внизу скрин страницы скайпа, а как получить ссылку на эту страницу-то?
«Когда переходите по ссылке восстановления пароля» — откуда её взять?
А вы чем читали?
Не использовал скайп уже наверное пол года, наверное уже взломали. Хотя кому я нужен.
В последнее время использую только в гугле и в вк переписку. Если что и там и там в общем то есть звонки с видео. В гугле даже получше скайпа (конференции бесплатные)
В последнее время использую только в гугле и в вк переписку. Если что и там и там в общем то есть звонки с видео. В гугле даже получше скайпа (конференции бесплатные)
Спасибо, очень ценная информация.
Прям круговорот кармы на хабре. Просто написал свое мнение о том, что скайп уже не так уж и нужен как он был нужен года 2 тому назад и мс купил уже несколько не инновационный продукт.
Также как я понимаю вскоре скайп полностью вольется в инфраструктуру мс и растворится в ней. А если честно я особо не знаю людей, которые так уж тесно используют их сервисы. Вот у гугла хорошая ситуация, их почту (не уверен, но вроде самый популярный почтовик) много кто использовал еще до андроида (самая популярная мобильная ОС), а многим нравится использовать историю поиска (самый популярный поисковик) например или синхронизацию вкладок и закладок в хроме (самый популярный браузер). Вся эта квинтэссенция популярных сервисов и ПО объеденяет практически всех людей интернета в общую сеть. С ростом G+ у скайпа не останется никаких шансов.
Даже например видя у человека смартфон на андроиде можно быть на 100% уверенным, что у него есть гугл акк и можно ему позвонить с использованием видео-аудио связи через интернет.
Также поиск гугла используется у людей больше всего, то есть фактически если доинтегрировать G+ в гугл, то человек будет почти все время онлайн. С любого компа где он зайдет в гугл. С MS такие фокусы не пройдут.
И вот надо было меня из-за этого комментария лишить возможности комментировать чаще чем раз в час.
Также как я понимаю вскоре скайп полностью вольется в инфраструктуру мс и растворится в ней. А если честно я особо не знаю людей, которые так уж тесно используют их сервисы. Вот у гугла хорошая ситуация, их почту (не уверен, но вроде самый популярный почтовик) много кто использовал еще до андроида (самая популярная мобильная ОС), а многим нравится использовать историю поиска (самый популярный поисковик) например или синхронизацию вкладок и закладок в хроме (самый популярный браузер). Вся эта квинтэссенция популярных сервисов и ПО объеденяет практически всех людей интернета в общую сеть. С ростом G+ у скайпа не останется никаких шансов.
Даже например видя у человека смартфон на андроиде можно быть на 100% уверенным, что у него есть гугл акк и можно ему позвонить с использованием видео-аудио связи через интернет.
Также поиск гугла используется у людей больше всего, то есть фактически если доинтегрировать G+ в гугл, то человек будет почти все время онлайн. С любого компа где он зайдет в гугл. С MS такие фокусы не пройдут.
И вот надо было меня из-за этого комментария лишить возможности комментировать чаще чем раз в час.
С ростом G+ у скайпа не останется никаких шансов
Совет — никогда не обсуждайте карму. Особенно никогда не говорите, что она несправедлива. :)
В данном случае ошибочность утверждения в том, что де-факто очень много конфиденциальной переписки идет в скайпе. Ущерб от такого дикого взлома реально исчистяется миллионами если не десятками миллионов.
Ломается всё, но когда цена взлома чувствительной информации падает до нуля это катастрофа.
А вы озвучили это пренебрежительно.
Минусуют, как в жизни так и на хабре за две вещи — за суть и за форму. С формой у вас совсем жопа (у меня тоже проблемы с этим, ничего личного :)) С сутью — хз…
В данном случае ошибочность утверждения в том, что де-факто очень много конфиденциальной переписки идет в скайпе. Ущерб от такого дикого взлома реально исчистяется миллионами если не десятками миллионов.
Ломается всё, но когда цена взлома чувствительной информации падает до нуля это катастрофа.
А вы озвучили это пренебрежительно.
Минусуют, как в жизни так и на хабре за две вещи — за суть и за форму. С формой у вас совсем жопа (у меня тоже проблемы с этим, ничего личного :)) С сутью — хз…
С сутью не меньшая жопа. В целом ошибка в том, что, здесь, в этом топике обсуждают проблему взлома скайпа. Ни его популярность (огромную), ни перспективы G+ по его вытеснению (сомнительных) а просто уязвимость, серьезную.
Данный комментарий характерно напоминает попытку похоливарить, слабую и неуместную. За это и слили. Так почти всегда происходит, когда в топик про MS приходит оголтелый линуксоид, или наоборот. Или в блоге MySQL написать, что оракл круче, или в топике про фичи iOS написать что говно ваш iOS по сравнению с Android. Ничего личного.
Данный комментарий характерно напоминает попытку похоливарить, слабую и неуместную. За это и слили. Так почти всегда происходит, когда в топик про MS приходит оголтелый линуксоид, или наоборот. Или в блоге MySQL написать, что оракл круче, или в топике про фичи iOS написать что говно ваш iOS по сравнению с Android. Ничего личного.
Господа, описанный метод работает и еще как! Когда переходите по ссылке восстановления пароля, сайт предлагает выбрать ЛЮБОЙ аккаунт, который зарегистрирован на ваш e-mail! Скрин прилагаю. Только что успешно взломал сам себя.
Мозг, сам себя взломал…
Взломай меня:
логин: zhovner
мыльник: pavel@zhovner.com
В противном случае постишь фото себя без одежды.
логин: zhovner
мыльник: pavel@zhovner.com
В противном случае постишь фото себя без одежды.
» фото себя без одежды.
Мсье знает толк в извращениях.
Мсье знает толк в извращениях.
Вы заходите, пишите что-нибудь хоть раз в пять минут, а то боязно ;)
Сколько учёток на ваше имя уже завели?
Sorry but due to security reasons you are limited to the number of temporary codes received each day.
You have have reached that limit today, Please try again in 24 hours.
You have have reached that limit today, Please try again in 24 hours.
Так взломали или нет?
UFO just landed and posted this here
Я думаю дело в том, что ты взломщик изменит мыло на свое, а код придет тот же самый. То есть привязка акков останется, хотя мыло и изменится. В итоге можно все акки с того мыла сломать.
Переработал на сегодня. ;) Ссылка то действительно пришла на почту, к которой у меня есть доступ. Прошу прощения за панику.
Только что проверил, сейчас уже нельзя выбирать Skype Name. Так что bug fixed?
В студию:
1) полный код писем, особенно заголовки, изображения и ссылки
2) OS владельцев угнанных аккаунтов
Особенно интересует, что это за письмо, которое начинается с маленькой буквы и со ссылки на api.skype.com. Пока похоже на стандартную разводку лохов, которой сто лет воруют аккаунты на всём подряд от почты до жж и блоггера (на такой же штуковине попадались г-да Мавроди и Навальный).
1) полный код писем, особенно заголовки, изображения и ссылки
2) OS владельцев угнанных аккаунтов
Особенно интересует, что это за письмо, которое начинается с маленькой буквы и со ссылки на api.skype.com. Пока похоже на стандартную разводку лохов, которой сто лет воруют аккаунты на всём подряд от почты до жж и блоггера (на такой же штуковине попадались г-да Мавроди и Навальный).
Не понимаю, что здесь происходит?
Никаких доказательств, а топик в большом плюсе.
Никаких доказательств, а топик в большом плюсе.
Бред какой-то.
Как они без доступа к ящику жертвы могут сменить пароль?
Как они без доступа к ящику жертвы могут сменить пароль?
Похоже сейчас функция восстановления пароля скайпа сломалась. Ни на одно из 2х акков не приходят письма.
Посмотрел ваши предыдущие статьи. Чувствую, в следующей вы ограничитесь «А-А-А! Мы все умрём!» и соответствующей картинкой. Простенько и со вкусом.
Кому слабо support@microsoft.com ?)
Да уж, топик месяца однозначно.
Попап уведомление о токене всплывает, но токена нигде не найти.
Только что проверил, уведомление в скайп приходит (в фейк-аккаунт новый), но при клике на него окошко просто исчезает и текста с ссылкой не видно.
Смысл такого уведомления?
Пробовал 3 раза:
1. Кликнул — исчезло
2. Попробовать потягать, покликать по заголовку, пытался сделать скрин — не успел и оно по таймауту исчезло
3. Кликнул — опять исчезло
Смысл такого уведомления?
Пробовал 3 раза:
1. Кликнул — исчезло
2. Попробовать потягать, покликать по заголовку, пытался сделать скрин — не успел и оно по таймауту исчезло
3. Кликнул — опять исчезло
Чтобы увидеть уведомление:
1. В скайп клиенте заходим на главную страницу.
2. Кликаем ф5 пока не увидим инфу про фейсбук
3. Закрываем инфу про фейсбук снизу
4. Видим инфу о маркерах.
5. PROFIT
1. В скайп клиенте заходим на главную страницу.
2. Кликаем ф5 пока не увидим инфу про фейсбук
3. Закрываем инфу про фейсбук снизу
4. Видим инфу о маркерах.
5. PROFIT
Пипец, работает, угнал скайп друга, доступа к почте не было.
Это работает уже очень давно:(
Но реализацию самой уязвимости я только что прочитал на форуме хеки, догадались после моей статьи.
Я еще летом писал в саппорт скайпа, но точного описания уязвимости у меня тогда не было, только то что в статье сейчас зачеркнуто, то я им и писал. Ответа, конечно от них никакого не пришло. Наверно просто проигнорировали…
За последнюю неделю сломали очень много моих партнеров\клиентов\знакомых в скайпе(и утекли конфиденциальные переписки), как еще достучаться до microsoft'a я не знаю, поэтому создал топик на хабре, но сейчас уже смысла удалять топик особо не вижу, в твиттере уже есть записи, в фейсбуке и т.д. Ничего от этого уже не изменится…
Но реализацию самой уязвимости я только что прочитал на форуме хеки, догадались после моей статьи.
Я еще летом писал в саппорт скайпа, но точного описания уязвимости у меня тогда не было, только то что в статье сейчас зачеркнуто, то я им и писал. Ответа, конечно от них никакого не пришло. Наверно просто проигнорировали…
За последнюю неделю сломали очень много моих партнеров\клиентов\знакомых в скайпе(и утекли конфиденциальные переписки), как еще достучаться до microsoft'a я не знаю, поэтому создал топик на хабре, но сейчас уже смысла удалять топик особо не вижу, в твиттере уже есть записи, в фейсбуке и т.д. Ничего от этого уже не изменится…
Всё правильно сделал!
Только стресс, только хардкор! =)
Только стресс, только хардкор! =)
и утекли конфиденциальные переписки
А разве переписка хранится на сервере?
Тут пишут что нет community.skype.com/t5/Security-Privacy-Trust-and/Is-chat-history-stored-on-Skype-servers/td-p/472379
Переписка скачивается прямиком с компьютера собеседника.
А разве переписка хранится на сервере?
Тут пишут что нет
А тут пишут, что «нет, но… но да».
In order to provide for the delivery and synchronization of instant messages across multiple devices, and in order to manage the delivery of messages between clients situated behind some firewalls which prevent direct connections between clients, some messages are stored temporarily on our (Skype/Microsoft) servers for immediate or later delivery to a user.
As I have outlined above, if a law enforcement entity follows the appropriate procedures and we are asked to access messages stored temporarily on our servers, we will do so. I must reiterate we will do so only if legally required and technically feasible.
То есть они подтверждают, что сообщения проходят через их сервера, подтверждают, что они их записывают, дальше они просят поверить, что это «чисто для вашего же блага, нам самим это не интересно» и что они «удаляют их». Хотя с другой стороны, что значит temporary? Ничто не вечно под луной, так что может и не врут — действительно еще первые сообщения в скайпе у них хранятся, но это временно, лет через 200 сотрут.
В общем не очень приятно доверять компании, которая сначала заставляет технологически включить себя в доверенные, которые будут иметь текст переписок, а потом просто успокаивает, что ничего плохого она нам не хочет. Но… просто, пусть переписка будет у нее. Вот, эта ситуация с уводом аккаунта и вместе с тем с уводом переписки — отличный пример, почему все таки не стоит доверять лишний раз, даже если вопрос «зачем скайпу за мной следить?» выглядит очень убедительным.
Тут пишут что нет
А тут пишут, что «нет, но… но да».
In order to provide for the delivery and synchronization of instant messages across multiple devices, and in order to manage the delivery of messages between clients situated behind some firewalls which prevent direct connections between clients, some messages are stored temporarily on our (Skype/Microsoft) servers for immediate or later delivery to a user.
As I have outlined above, if a law enforcement entity follows the appropriate procedures and we are asked to access messages stored temporarily on our servers, we will do so. I must reiterate we will do so only if legally required and technically feasible.
То есть они подтверждают, что сообщения проходят через их сервера, подтверждают, что они их записывают, дальше они просят поверить, что это «чисто для вашего же блага, нам самим это не интересно» и что они «удаляют их». Хотя с другой стороны, что значит temporary? Ничто не вечно под луной, так что может и не врут — действительно еще первые сообщения в скайпе у них хранятся, но это временно, лет через 200 сотрут.
В общем не очень приятно доверять компании, которая сначала заставляет технологически включить себя в доверенные, которые будут иметь текст переписок, а потом просто успокаивает, что ничего плохого она нам не хочет. Но… просто, пусть переписка будет у нее. Вот, эта ситуация с уводом аккаунта и вместе с тем с уводом переписки — отличный пример, почему все таки не стоит доверять лишний раз, даже если вопрос «зачем скайпу за мной следить?» выглядит очень убедительным.
Пытаюсь изменить основной адрес (паранойя, видите ли, новый — guid). Новый адрес, который я пытаюсь сделать основным — удаляет из списка. Основным, соответственно, остаётся старый.
В общем топикстартер своего таки добился.
В общем топикстартер своего таки добился.
Спокойно поменял только что. Вы сначала сохраняйте новый основной адрес, а лишь следующим редактированием удаляйте дополнительный.
Но это жесть, конечно. Шаги повторил, на своём втором акке сменил почту, не заходя в старую.
Пришлось делать себе рандомный адрес и менять основной.
Но это жесть, конечно. Шаги повторил, на своём втором акке сменил почту, не заходя в старую.
Пришлось делать себе рандомный адрес и менять основной.
Добавляю почту, жду сохранить.
На всякий случай обновляю страницу.
Новый адрес есть.
Жму «изменить», жму «Сделать основным адресом эл. почты», жму сохранить.
Просит ввести пароль, ввожу.
появляется «Ваши личные данные были обновлены.» вместо всей страницы.
обновляю страницу
нового адреса нет.
На всякий случай обновляю страницу.
Новый адрес есть.
Жму «изменить», жму «Сделать основным адресом эл. почты», жму сохранить.
Просит ввести пароль, ввожу.
появляется «Ваши личные данные были обновлены.» вместо всей страницы.
обновляю страницу
нового адреса нет.
Попробуйте при в вводе пароля жать Enter не на клавиатуре, а кнопку на странице. Чудо-сайт криво работает.
Жал мышью, у меня есть такое подозрение, что они нахимичили что-то с хранилищем в браузере. Сейчас попробую через ФФ, сейчас из оперы пытался.
Всё, ясно. Мои подозрения оправдались — у мелкософта Опера как всегда работает через заднее место. У меня после любых изменений с паролем в ней слетает адрес на старый и единственный.
В ФФ всё работает.
В ФФ всё работает.
UFO just landed and posted this here
Жду уже минут 10, эфпячу клиент скайпа, но «Главная страница недоступна». На почту уведомление пришло.
Я подтверждаю — работает.
У кого работает — вы тестировали с разных клиентов/рабочих станций, или аккаунты были с одного клиента Skype? У меня не работает — уведомление в скайпе о маркере приходит, но кликнуть по нему не выходит. Нет перехода по дальнейшей ссылке. То есть шаг 5 наступает, а вот к 6 не пройти. Возможно это связанно с тем, что на то мыло, вторичное, оно на нескольких аккаунтах Skype… Тогда в описание надо добавить, что мыло должно быть «чистым».
Так, а как перейти по ссылке, если ссылки нет. Нотификация в скайпе это не сообщение, только если не нужен какой-то особый старый скайп. На «подставное» мыло ссылка не приходит. Она приходит на примари майл, который мы не контролируем. Значит либо в описании не точность, либо пофиксили, либо фейк.
Тоже была такая проблема:
habrahabr.ru/post/158545/#comment_5427761
habrahabr.ru/post/158545/#comment_5427761
Шаги можно сократить, если использовать маркер пароля в клиенте. Куки чистить не нужно (только выйти на сайте), свой email добавлять тоже не надо. Все можно сделать через клиент. Вот это дыра! Кто еще не верит, и не сменил ящик, советую скорее это сделать.
Алгоритм возвращения аккаунта точно такой же, надо полагать. :)
Да еще и ящик угонщика можно узнать
Да еще и ящик угонщика можно узнать
Работает.
UFO just landed and posted this here
UFO just landed and posted this here
Кстати, наверное туплю, но как удалить «дополнительные» почтовые адреса, не вижу нигде соотв. пункта?
UFO just landed and posted this here
Читать чужую переписку, различные виды мошенничеств и пр. Не, не слышал!
UFO just landed and posted this here
А как вы прочитаете чужую переписку, если история хранится локально на пк пользователя?
Переписку можно получить из истории собеседника (она же не только на вашем компе хранится, но и у оппонента)
Во даёт Корпорация Microsoft!
Это слив репутации,в общем-то.
Это слив репутации,
UFO just landed and posted this here
Аутентификацию по учётной записи Майкрософт они на портал сбоку прикрутили?
Прикрутили.
Значит, либо сами по ходу дела важные ограничители своротили, либо положились на безопасность «наследия» и экономили на аудите безопасности получившегося решения.
Прикрутили.
Значит, либо сами по ходу дела важные ограничители своротили, либо положились на безопасность «наследия» и экономили на аудите безопасности получившегося решения.
В нашей стране нет такого понятия как репутация, к сожалению…
Проверил, работает:
— открываем login.skype.com/account/signup-form
— заполняем все* поля, указываем email жертвы, соглашаемся
— попадаем на свою личную страничку, жмем выход
— логинимся в скайп клиент, на главной странице жмем «Нет, сейчас я не хочу подключаться к facebook»
— открываем в браузере login.skype.com/account/password-reset-request, вводим email жертвы
— в скайп клиенте получаем уведомление и видим маркер пароля на главной странице клиента.
— открываем ссылку, выбираем аккаунт жертвы, меняем пароль.
— PROFIT.
— открываем login.skype.com/account/signup-form
— заполняем все* поля, указываем email жертвы, соглашаемся
— попадаем на свою личную страничку, жмем выход
— логинимся в скайп клиент, на главной странице жмем «Нет, сейчас я не хочу подключаться к facebook»
— открываем в браузере login.skype.com/account/password-reset-request, вводим email жертвы
— в скайп клиенте получаем уведомление и видим маркер пароля на главной странице клиента.
— открываем ссылку, выбираем аккаунт жертвы, меняем пароль.
— PROFIT.
Только что проверил, нет выбора Skype Name. Только одно указано.
в общем, в secure.skype.com/portal/profile всё равно остаётся старый primary адрес, даже если в клиенте его удалить или сменить
так вот ты какое, РЕШЕТО!
Прихожу сегодня на работу, а скайп разлогинен и залогиниться не могу, думаю что за хрень? Захожу на хабр и тут на тебе ) Оперативно)
Пробую на своем скайпе. На пункте 4 получаю уведомление от скайпа (в трее) Password token. Но это не ведет ни к какой ссылке. Нажимаю на это уведомление, и ничего не происходит. Я что то не так понял?
1. В скайп клиенте заходим на главную страницу.
2. Кликаем ф5 пока не увидим инфу про фейсбук
3. Закрываем инфу про фейсбук снизу
4. Видим инфу о маркерах.
2. Кликаем ф5 пока не увидим инфу про фейсбук
3. Закрываем инфу про фейсбук снизу
4. Видим инфу о маркерах.
пункт 4 и 6 — тут
хы… Welcome to Microsoft, baby!
Мне скайп не даёт сменить основное мыло. Точнее, после всех манипуляций дополнительного ящика в итоге нет, хотя он и говорит, что всё ок. Зато требует указать фамилию и страну.
Тут написано как сменить основное мыло на дополнительное.
Собственно, я так и делал.
Но! После последнего пункта «Введите ваш текущий пароль и нажмите клавишу Enter» меня кидает на белую страницу «данные изменены» (без фона и прочего, просто белый текст), при заходе в профиль ещё раз не обнаруживаю там ни нового адреса, ни другого основного адреса. Как будто и не делал всего этого.
Но! После последнего пункта «Введите ваш текущий пароль и нажмите клавишу Enter» меня кидает на белую страницу «данные изменены» (без фона и прочего, просто белый текст), при заходе в профиль ещё раз не обнаруживаю там ни нового адреса, ни другого основного адреса. Как будто и не делал всего этого.
попробуйте другой браузер
FF и Chrome — результат одинаковый:
И дополнительное мыло пропадает.
Или сайт скайпа теперь только под IE должен работать?
И дополнительное мыло пропадает.
Или сайт скайпа теперь только под IE должен работать?
Мышкой нужно нажимать, а не Enter )
Да, только что сам дошёл.
Помогло переключение на английскую версию сайта. Мда.
Кхм. Не в языке было дело. В поле ввода пароля для подтверждения смены мыла надо нажимать на кнопку МЫШКОЙ, блин, МЫШКОЙ! На enter на клаве жать нельзя!
UX и UI дизайнеры, равно как и верстальщики, — ...!
UX и UI дизайнеры, равно как и верстальщики, — ...!
Спасибо за статью, мой skype угнали. При чем на моих глазах. В этот момент я сам пытался сменить почту и тут приходит «метка». Играл с вором наперегонки, но, в итоге, сработал лимит на число восстановлений пароля за сутки (теперь надо ждать 24 часа), а злоумышленник оказался последним, восстановившим пароль.
Интересно как вы будете восстанавливать доступ, если злоумышленник оставит в вашем профиле только свои e-mail, а ваши удалит. Хотя если вы хоть раз пополняли баланс Скайпа, тогда сможете.
Пополнял баланс скайпа много раз (речь о старом и часто используемом аккаунте), есть вся платежная информация, привязанный подтвержденный номер телефона (настроенные переадресации, идентификация номера и т. д.). Сейчас общаюсь со службой поддержки, надеюсь на лучшее.
Тогда волноваться не о чём, восстановят вам доступ.
Пока что разговор идет ни о чем. Попросили прислать письмо со старого ящика. Прилал. А потом они говорят, что этот ящик уже не указан, а историю смены почты они посмотреть не могут (хотя он был еще сегодня утром, а потом вор поменял почту).
UFO just landed and posted this here
Там служба поддержка крайне неадекватная, не знаю на какой уровень я попал (работают по шаблону, мои ответы не читают). Про баг ничего слышать не хотят, общение идет на уровне рядовой утери пароля, хотя я уже больше часа с ними борюсь. Они мне вернули старый e-mail, удалили новые skype аккаунты, но поменять primary не могут. Пароль вернуть тоже не могут, говорят восстанавливать самостоятельно, но я не могу, потому что надо ждать 24 часа. В итоге, вернулся к началу. Ждать 24 часа и надеяться, что я смогу поменять пароль быстрее вора. Пытаюсь им это объяснить, но бестолку.
UFO just landed and posted this here
Поддержка у скайпа это феерическое нечто, то, что вы за час добились хоть каких-то результатов это большая удача. У меня сотрудник больше месяца с ними бодался по поводу вообще смешной баги — скайп крешился на старте на машине с 32 ядрами. В итоге ему таки выдали воркэраунд — запускать батником с помощью start /affinity 20, чтобы скайп видел не все ядра. Но на это, как я уже говорил, ушло больше месяца, в поддержке индусские роботы, не умеющие читать письма и переспрашивающие по много раз одно и то же.
Так что крепитесь.
Так что крепитесь.
Скайп на 32 ядра?
Месье знает толк в извращениях…
Месье знает толк в извращениях…
В чем извращение то? В том, что человек себе на компьютер, на котором 32 виртуальных (учитывая гипертрединг) ядра, решил поставить скайп? Или в том, что скайповские разработчики умудрились как то особенным образом написать код, который падает на 32 ядрах?
У меня есть компьютер с 32 реальными ядрами и 2гб оперухи… само это уже извращение, а торрент на нем так тем более… но не выбрасывать же, если он непродавабельный и не нужен… :)
Но даже 32 виртуальных ядра и скайп это извращение, как не крути :)
Даже объяснять не хочу, потому что логически может быть все что угодно, это скорее об ощущениях…
Но даже 32 виртуальных ядра и скайп это извращение, как не крути :)
Даже объяснять не хочу, потому что логически может быть все что угодно, это скорее об ощущениях…
Такой вопрос может решить только девелопер, так что месяц — вполне нормально.
Одному знакомому поддержка втирает что нужно сменить пароль от почты, ичх, он сам в тп работает.
Все закончилось хорошо. Служба поддержки непробиваемая (подробности выше): сообщения про баг игнорируют и выполняют стандартные процедуры, которые в данном случае не подходят.
Например, для восстановления первичной почты они предложили назвать номер последнего платежа. В примечании WebMoney указано только SKYPE-000000608106516286170000100001-Skype, что не является номером (такой ответ они не принимают). На вопрос «что делать», мне было предложено зайти в аккаунт Skype на сайте и посмотреть там :) Это при том, что мы занимаемся восстановлением пароля. К счастью, у меня был привязан аккаунт Facebook (и злоумышленник не удалил привязку), получилось зайти в skype через него.
Почту вернули, новые учетные записи отвязали, пароль предлагали восстановить самостоятельно через 24 часа. На просьбу поменять основную почту отвечали отрицательно (говорили, что сейчас восстановлена та, на которую регистрировался аккаунт).
В итоге, сказал, что почту у меня тоже украли. Нашелся подходящий шаблон действий, после чего primary mail мне все-таки сменили.
Например, для восстановления первичной почты они предложили назвать номер последнего платежа. В примечании WebMoney указано только SKYPE-000000608106516286170000100001-Skype, что не является номером (такой ответ они не принимают). На вопрос «что делать», мне было предложено зайти в аккаунт Skype на сайте и посмотреть там :) Это при том, что мы занимаемся восстановлением пароля. К счастью, у меня был привязан аккаунт Facebook (и злоумышленник не удалил привязку), получилось зайти в skype через него.
Почту вернули, новые учетные записи отвязали, пароль предлагали восстановить самостоятельно через 24 часа. На просьбу поменять основную почту отвечали отрицательно (говорили, что сейчас восстановлена та, на которую регистрировался аккаунт).
В итоге, сказал, что почту у меня тоже украли. Нашелся подходящий шаблон действий, после чего primary mail мне все-таки сменили.
504 на смену пароля
Могу посоветовать трюк, что-бы не создавать новый никому не известный емайл можно к существующему емайл добавить суффикс через +, например:
обычный емайл: мой_логин@мой_домен.ru
емайл с суффиком: мой_логин+секретное_слово@мой_домен.ru
письма отправленные на емайл с суффиксом приходят на ящик без суффикса (мой_логин@мой_домен.ru), но система считает этот емайл уникальным! Проверено на яндекс.почте и gmail.
Единственный минус — некоторые парсеры емайла не пропускают символ +, но к счастью таких не много.
обычный емайл: мой_логин@мой_домен.ru
емайл с суффиком: мой_логин+секретное_слово@мой_домен.ru
письма отправленные на емайл с суффиксом приходят на ящик без суффикса (мой_логин@мой_домен.ru), но система считает этот емайл уникальным! Проверено на яндекс.почте и gmail.
Единственный минус — некоторые парсеры емайла не пропускают символ +, но к счастью таких не много.
А еще на емайлы с суффиксами удобно подписывать разного рода подписки и рассылки и потом сортировать их фильтрами, даже если емайл отправителя или/и тема письма будут периодически меняться. Пожалуйста.
Опередил. =)
Только что проверял с GMAIL
на основном Skype поменял primary email на gmail с плюсиком. еще на одном тестовом аккаунте не менял — оставил как есть
создал 3й скайп аккаунт и угнал из под него второй аккаунт. В списке когда выбираешь пароль от какого аккаунта менять первого основного с + в mail не было.
Так что этот трюк работает. Подтверждаю
Только что проверял с GMAIL
на основном Skype поменял primary email на gmail с плюсиком. еще на одном тестовом аккаунте не менял — оставил как есть
создал 3й скайп аккаунт и угнал из под него второй аккаунт. В списке когда выбираешь пароль от какого аккаунта менять первого основного с + в mail не было.
Так что этот трюк работает. Подтверждаю
На gmail ещё можно логин точками разбавлять.
Так что можно менять user@gmail.com на u.se.r+skype-r35h3t0@gmail.com
Так что можно менять user@gmail.com на u.se.r+skype-r35h3t0@gmail.com
А ещё дефисы в адресе можно заменять точками. Почта та же, а адрес — уникальный. Проверено на Яндекс.Почте.
Ещё трюк, которым я пользуюсь, если точки или плюсы не проходят по каким-либо причинам: я себе на недорогом хостинге зарегистрировал свой домен с коротеньким именем и возможностью добавления своих почтовых ящиков, и там есть такая фишка как «Catchall-E-mail» — там указан e-mail адрес сборщика для почты, для которой не заведён почтовый ящик (эта опция, вероятно, может не всеми хостингами поддерживаться). Суть вот в чём: что бы я не написал до @МойДомен.de — вся почта автоматически валится на один центральный адрес (ну а там её уже можно фильтрами обработать). Отправителю при этом никаких сообщений типа «нет такого ящика» не отсылается.
Два реальных кейса:
1 — спамеры прислали с миллион сообщений на разные имена, все благополучно были переадресованны. Домен правда был боевой, PR3 но тем не менее.
2 — антиспам-фильтры хостера не зная что определенный адрес «разрешенный» приняли его за спам по типу кейса №1.
Советую лучше делать конкретные ящики и делать переадресацию на свой основной. Обычно это доступно.
1 — спамеры прислали с миллион сообщений на разные имена, все благополучно были переадресованны. Домен правда был боевой, PR3 но тем не менее.
2 — антиспам-фильтры хостера не зная что определенный адрес «разрешенный» приняли его за спам по типу кейса №1.
Советую лучше делать конкретные ящики и делать переадресацию на свой основной. Обычно это доступно.
Спасибо, замечание разумное. Эти кейсы имеют отношение только к более-менее «засвеченным» доменам. Регистрация конкретных ящиков, конечно, доступна, но требует дополнительных телодвижений (впрочем это всегда можно постфактум сделать). Мне спама туда практически не валится в силу малой известности домена — на нём ничего не хостится и поисковыми системами он не индексируется.
Ну если A или CNAME нет то конечно да, но на счет «не индексируется» у меня тоже есть несколько кейсов :)
1 — в свое время я забыл закрыть от индексации свой анализатор контента который преобразовывал ссылки на ссылки внутри парсера. В результате Яндекс попытался выкачать через меня весь интернет… положил мне VDS и мне пришлось разделегировать домен на неделю, чтобы этот DOS закончился… Сам не знаю как так звезды стали, что меня так сильно индексировали… обычно не дождешься, а тут положил сервак.
2 — тестировал свой метапоисковик… молодой был, глупый. robots.txt не сделал. Думал домен никто не знает, ссылок на него нет… а тут еще и поддомен. В общем был удивлен трафиком с гугла около 300 человек в день. Анализ показал, что один из моих знакомых который тестировал скрипт перешел с него на сайт который выводил у себя активными ссылками реффереры со словами мол к нам приходят оттуда. Ну а дальше уже понятно — сниппеты достаточно релевантные, и поисковик посчитал контент достаточно релевантным для многих ключей…
3 — неоднократно замечал как после регистрации домена почти сразу приходил гуглобот, посмотреть есть ли там сайт.
1 — в свое время я забыл закрыть от индексации свой анализатор контента который преобразовывал ссылки на ссылки внутри парсера. В результате Яндекс попытался выкачать через меня весь интернет… положил мне VDS и мне пришлось разделегировать домен на неделю, чтобы этот DOS закончился… Сам не знаю как так звезды стали, что меня так сильно индексировали… обычно не дождешься, а тут положил сервак.
2 — тестировал свой метапоисковик… молодой был, глупый. robots.txt не сделал. Думал домен никто не знает, ссылок на него нет… а тут еще и поддомен. В общем был удивлен трафиком с гугла около 300 человек в день. Анализ показал, что один из моих знакомых который тестировал скрипт перешел с него на сайт который выводил у себя активными ссылками реффереры со словами мол к нам приходят оттуда. Ну а дальше уже понятно — сниппеты достаточно релевантные, и поисковик посчитал контент достаточно релевантным для многих ключей…
3 — неоднократно замечал как после регистрации домена почти сразу приходил гуглобот, посмотреть есть ли там сайт.
Благодаря статье угнали скайп-аккаунты Ильи Варламова, Антона Носика, Алексея Навального. Первым двум повезло больше: злоумышленники сами вернули аккаунты владельцам.
Я в ярости! Как вы меняете основную почту?!
Добавляю новый email сохраняю, все окей теперь у меня две почты жму изменить информацию меняю праймери -> сохранить -> ввожу пароль -> пишет что профиль сохранен (пустая белая страница и текст) захожу снова в профиль, а там старый праймери мейл и ничего больше…
Уже пробовал в хроме и опере, пойду в фф попробую…
Добавляю новый email сохраняю, все окей теперь у меня две почты жму изменить информацию меняю праймери -> сохранить -> ввожу пароль -> пишет что профиль сохранен (пустая белая страница и текст) захожу снова в профиль, а там старый праймери мейл и ничего больше…
Уже пробовал в хроме и опере, пойду в фф попробую…
Кто уже пробовал dima-badminton@kremlin.ru и VoVaP@kremlin.ru?)
Вот мне интересно, а стоило ли публиковать настолько ПОЛНУЮ инструкцию как это сделать? :-D
Школота сейчас будет мучать всех :)
Школота сейчас будет мучать всех :)
Уже прошло столько времени, а от майкрософта реакции ноль. Чувствую пора искать скайпу альтернативу.
Skype в курсе и в данный момент исследует эту проблему.
Пресс-служба Skype.
Пресс-служба Skype.
А что там исследовать?
Для начала пока не утащили все ящики запретить регистрацию на основную почту других аккаунтов, а там уже думать.
Для начала пока не утащили все ящики запретить регистрацию на основную почту других аккаунтов, а там уже думать.
я вообще не понимаю чем думали люди, когда разрешили регить новые аккаунты на существующий адрес без подтверждения прав на ящик. Причем эти левые акки нельзя ни удалить ни заблокировать, в итоге кто хочет на ваше мыло регит черт щнает что))
P.S. или маркер не высылать :)
Временно отключили функцию сброса пароля.
Что-то вы рано.
Как я понимаю, слишком много желающих попробовать такое?
Страницы, ссылки на которые приходят вместе с маркером пароля, недоступны.
Страницы, ссылки на которые приходят вместе с маркером пароля, недоступны.
Все работает, 5 минут назад проверенно :)
Зарубежные СМИ еще даже не в курсе.
да и в твитере пока только русскоязычное население репостит, почти нет твитов западных
Меня как-то тоже смущает, что никто из присутствующих не вынес это за пределы рунета. Как такое получается?
Вообще единственное упоминание, которое нашел www.reddit.com/r/netsec/comments/13664q/skype_vulnerability_allowing_hijacking_of_any/
Или плохо ищу?
Вообще единственное упоминание, которое нашел www.reddit.com/r/netsec/comments/13664q/skype_vulnerability_allowing_hijacking_of_any/
Или плохо ищу?
Если злоумышленник сам не сменит почту на угнанном аккаунте — его таким-же способом можно вернуть?
Вобщем сайт у них глючит не по детски, вобщем кто хочет защититься от школоты:
1) заходим на secure.skype.com/login
2) логинимся
3) идем в «Личные данные»
4) «Добавить адрес» -> вводим свой мыл с суфиксом, т.е. вместо «imСОБАКАhost.ru» «im+чтотоСОБАКАhost.ru»
5) «Сохранить»
6) разлогиниваемся
7) снова логинимся
8) идем в «Личные данные»
9) жмем «Изменить»
10) около нового мыла щелкаем «Сделать основным»
11) «Сохранить» + вводим пароль
12) идем в «Личные данные»
13) «Изменить» -> стираем старый мыл -> «Сохранить»
Усе. Скайп будет считать в качестве Вашего мыла «im+чтотоСОБАКАhost.ru», а приходить с него будет на «imСОБАКАhost.ru»
Без разлогиннивания у меня «сделать основным» тупо убирало новый адрес и оставляло старый под FF
1) заходим на secure.skype.com/login
2) логинимся
3) идем в «Личные данные»
4) «Добавить адрес» -> вводим свой мыл с суфиксом, т.е. вместо «imСОБАКАhost.ru» «im+чтотоСОБАКАhost.ru»
5) «Сохранить»
6) разлогиниваемся
7) снова логинимся
8) идем в «Личные данные»
9) жмем «Изменить»
10) около нового мыла щелкаем «Сделать основным»
11) «Сохранить» + вводим пароль
12) идем в «Личные данные»
13) «Изменить» -> стираем старый мыл -> «Сохранить»
Усе. Скайп будет считать в качестве Вашего мыла «im+чтотоСОБАКАhost.ru», а приходить с него будет на «imСОБАКАhost.ru»
Без разлогиннивания у меня «сделать основным» тупо убирало новый адрес и оставляло старый под FF
Hello, my name is Linus Torvalds and i pronounce «Skype» as «РЕШЕТО».
Мыши плакали, кололись, но продолжали юзать скайп…
Опаньки, это уже не есть хорошо.
Надо в Skype через Facebook логиниться.
Угнал Skype сам у себя! Чувствую себя гениальным хакером, всемирным злом и повелителем всех смертных!!! :)
Не знаю что у вас, но расскажу свою чудо историю.
Пока добирался до работы, на почту пришли «письма счастья» от скайпа о регистрации пользователя на мыло, затем последовательно получил сообщения о токене и смене пароля, а потом вообще, что на этом аккаунте зарегистрирован новый почтовый адрес (с нехитрым названием volanxak@yandex.ru).
Потом начал разбираться со скайпом, параллельно открыв Хабр и увидел про данную уязвимость.
Вернуть доступ к аккаунту я-то смог, благо мыло не удалил из учетки, а вот с логином-то беда: под его могу зайти, под своим же нет.
Может кто подскажет, как вернуть доступ именно к тому логину?
Пока добирался до работы, на почту пришли «письма счастья» от скайпа о регистрации пользователя на мыло, затем последовательно получил сообщения о токене и смене пароля, а потом вообще, что на этом аккаунте зарегистрирован новый почтовый адрес (с нехитрым названием volanxak@yandex.ru).
Потом начал разбираться со скайпом, параллельно открыв Хабр и увидел про данную уязвимость.
Вернуть доступ к аккаунту я-то смог, благо мыло не удалил из учетки, а вот с логином-то беда: под его могу зайти, под своим же нет.
Может кто подскажет, как вернуть доступ именно к тому логину?
Аккаунт еще не перенесли на другую почту? Это делается легко в кабинете без необходимости подтверждения операции.
Проверьте, сделав восстановление пароля. После ввода почты необходимо выбрать аккаунт. Если вашего старого аккаунта в списке нет, то у него уже изменили primary mail.
Проверьте, сделав восстановление пароля. После ввода почты необходимо выбрать аккаунт. Если вашего старого аккаунта в списке нет, то у него уже изменили primary mail.
Смотрите, мне на почту пришло извещение, что зарегистрированный адрес электронной почты успешно изменен, и теперь вместо моего логина отображается логин мошенника.
Затем я восстановил пароль (когда работало еще), но в личный кабинет пускало не под моим, а под тем логином. Там же я удалил 2 ящик (мошенника).
P.S. Все равно толком не понял как мне восстановить пароль именно к той учетке, а то терять все контакты совсем хреново получается.
Затем я восстановил пароль (когда работало еще), но в личный кабинет пускало не под моим, а под тем логином. Там же я удалил 2 ящик (мошенника).
P.S. Все равно толком не понял как мне восстановить пароль именно к той учетке, а то терять все контакты совсем хреново получается.
При смене основного мыла попросили пароль. Дыру закрыли?
hostingkartinok.com/show-image.php?id=9464583a67acb1d917c376d58b39a0be
P.S. Картинка никак не вставляется(
hostingkartinok.com/show-image.php?id=9464583a67acb1d917c376d58b39a0be
P.S. Картинка никак не вставляется(
Страницу восстановления пароля ( login.skype.com/account/password-reset-request ) прикрыли, она просто редирект на страницу логина.
Не прошло и пол года)))))
«We’ve been informed of a vulnerability in our password reset process, which could compromise the security of our users. We have temporarily disabled the password reset process for Skype accounts to prevent this vulnerability from being exploited.
Security is of the highest importance to us and we are working on getting this fixed as soon as possible.
We apologize for any inconvenience caused to users who need to reset their passwords, but our priority is protecting the integrity of user accounts.»
отсюда
(facepalm)
Security is of the highest importance to us and we are working on getting this fixed as soon as possible.
We apologize for any inconvenience caused to users who need to reset their passwords, but our priority is protecting the integrity of user accounts.»
отсюда
(facepalm)
Мне интересно, как они будут восстанавливать те учетки, на которые платежи не производились?
Security is of the highest importance to us and we are working on getting this fixed as soon as possible.
Лицемерные наглецы. Я бы им в лицо плюнул за такие заявления после такого фейла. Они бы еще базу логинов паролей (нешифрованных) просрали и заявляли, что «Security is of the highest importance to us»
Лицемерные наглецы. Я бы им в лицо плюнул за такие заявления после такого фейла. Они бы еще базу логинов паролей (нешифрованных) просрали и заявляли, что «Security is of the highest importance to us»
Ежики плакали, кололись…
Если бы это был первый инцидент со скайпом то было бы о чем говорить.
Я вообще не держу скайп на одной физической машине с уязвимыми данными.
Друзья называли параноиком… Сегодня мой черед с них смеяться.
Все это было бы забавно если бы некоторые крупные компании не использовали этот говонософт в бизнесмодели.
Очень сильно удивлялся в свое время что вся корпоративная переписка в Приватбанке ведется(велась?) в скайпе…
Если бы это был первый инцидент со скайпом то было бы о чем говорить.
Я вообще не держу скайп на одной физической машине с уязвимыми данными.
Друзья называли параноиком… Сегодня мой черед с них смеяться.
Все это было бы забавно если бы некоторые крупные компании не использовали этот говонософт в бизнесмодели.
Очень сильно удивлялся в свое время что вся корпоративная переписка в Приватбанке ведется(велась?) в скайпе…
UFO just landed and posted this here
login.skype.com/account/password-reset-request — Система восстановления пароля уже не работает. Перенаправляет в страницу авторизации.
Кажется прикрыли, при выборе на странице смены пароля (забыли пароль) происходит редирект на страницу для входа в профиль
только у меня одного сложилось впечатление, что инструкция взлома скайпа похожа на инструкцию для какого-нибудь ФБРэвца или еще кого из спец.служб?
Просто epic.
Интересно будет почитать подробности появления бага если будут…
Интересно будет почитать подробности появления бага если будут…
кстати, email в скайпе приватное поле, но по нему можно вести поиск. то есть, теоретически, можно подобрать email человека, просто используя поиск.
Это нормально, что восстановление пароля сейчас вообще не работает?
Учитывая, что Skype владеют мелкомягкие — это самое действенное, на их взгляд, решение.
Если положить на весы с одной стороны описываемую дырку, а с другой — не рабочее восстановление, то, наверное, нормально.
Видимо исправляют уязвимость, чтобы всякие школоло не могли дальше ломать аккаунты.
Нормальней, чем было до этого :) Наспех принятое решение, похоже.
Впечатление, что уязвимость работала только для самых свежих версий skype. Например в скайп на линуксе, который отстает с версией, после выполнения шага 3 тикет на смену пароля (шаг 4) не пришел. Поснифить протокол не догадался, впрочем там кажется, он шифрованный.
Пока закачивал и запускал скайп под виртуалбоксом, дырку login.skype.com/account/password-reset-request похоже залепили пластилином — редиректит снова на логин.
Думаю, данный пост выполнил свою задачу — стукнуть по голове мелкософту, чтобы шевелился. Автору респект за предупреждение и комплейн за подсказку уродам, радостно пожравшим чужие акки.
Пока закачивал и запускал скайп под виртуалбоксом, дырку login.skype.com/account/password-reset-request похоже залепили пластилином — редиректит снова на логин.
Думаю, данный пост выполнил свою задачу — стукнуть по голове мелкософту, чтобы шевелился. Автору респект за предупреждение и комплейн за подсказку уродам, радостно пожравшим чужие акки.
Skype сообщает, что они временно закрыли форму password reset'а до окончания разбирательств
Password vulnerability
23 minutes ago
We’ve been informed of a vulnerability in our password reset process, which could compromise the security of our users. We have temporarily disabled the password reset process for Skype accounts to prevent this vulnerability from being exploited.
Security is of the highest importance to us and we are working on getting this fixed as soon as possible.
We apologize for any inconvenience caused to users who need to reset their passwords, but our priority is protecting the integrity of user accounts.
Password vulnerability
23 minutes ago
We’ve been informed of a vulnerability in our password reset process, which could compromise the security of our users. We have temporarily disabled the password reset process for Skype accounts to prevent this vulnerability from being exploited.
Security is of the highest importance to us and we are working on getting this fixed as soon as possible.
We apologize for any inconvenience caused to users who need to reset their passwords, but our priority is protecting the integrity of user accounts.
По прямой ссылке всё ещё работает.
У подруги увели скайп, основной емейл поменяли.
Саппорт морозится. Как возвращать доступ к аккаунту — низвестно.
Слов нет — одни эмоции!
Саппорт морозится. Как возвращать доступ к аккаунту — низвестно.
Слов нет — одни эмоции!
Да аналогично, я даже не знаю, как буду возвращать список заказчиков…
Видимо хуже всего приходится фрилансерам.
Видимо хуже всего приходится фрилансерам.
Их саппорт – это вообще целая история. Тоже были проблемы какое-то время назад, тоже связывался с ними. Над одним тикетом работали человек десять по очереди, каждому из них приходилось заново объяснять суть проблемы, а они отвечали стандартными фразами. Заказал платную поддержку, пообщался уже в режиме чата с одним человеком, но проблему решить так и не смогли. Индусы одним словом.
Заглушку поставили, уязвимость скорее всего пофиксят. Теперь интересно как будет происходить откат от набежавших угонщиков. Логично было бы откатить изменения, совершенные по данной схеме, т.е. вернуть primary мыло в первоначальное состояние для всех адресов на который пытались зарегать еще один аккаунт и выслать на них ключ для смены пароля… вот только хранятся ли предыдущие примари после смены. А иначе как вернуть себе угнанный акк?
Официальный комментарий от представителя Skype:
Мы получили сообщения об уязвимости в системе безопасности Skype. В целях безопасности наших пользователей мы временно отключили функцию сброса пароля, также мы продолжаем дальше исследовать этот вопрос. Приносим свои извинения за неудобство, безопасность наших пользователей является нашей первоочередной задачей.
Мы получили сообщения об уязвимости в системе безопасности Skype. В целях безопасности наших пользователей мы временно отключили функцию сброса пароля, также мы продолжаем дальше исследовать этот вопрос. Приносим свои извинения за неудобство, безопасность наших пользователей является нашей первоочередной задачей.
Я просто плачу от ответа робота: «Thanks for contacting Skype. Just to let you know, we've received the support request you submitted on our website. We'll get back to you with more information in the next 24 hours. Hold tight!»
Работайте через Сделку Без Риска! Нечего по скайпам шастать!
</sarcasm mode>
</sarcasm mode>
Самое ужасное, что почти сутки после публикации товарищи из мелкософта и ухом не вели =\
Приватбанк (самый крупный украинский банк) глубоко интегрировал в свою бизнес-модель скайп.
Меня все мои менеджеры упорно пытались затянуть в эту клоаку мол удобно, и между собой у них значительная часть переписки в скайпе.
Сегодня у меня, и у некоторых моих партнеров в Привате некоторые операции сильно заторможены по сравнению с обычной скоростью (с утра не пришло то, что обычно за пару минут происходит).
В интернет-банкинге все сильно тормозит. Очень сильно.
Сижу сейчас в задумчивости — совпадение или.....?
Меня все мои менеджеры упорно пытались затянуть в эту клоаку мол удобно, и между собой у них значительная часть переписки в скайпе.
Сегодня у меня, и у некоторых моих партнеров в Привате некоторые операции сильно заторможены по сравнению с обычной скоростью (с утра не пришло то, что обычно за пару минут происходит).
В интернет-банкинге все сильно тормозит. Очень сильно.
Сижу сейчас в задумчивости — совпадение или.....?
А вот и официальная реакция подоспела:
http://heartbeat.skype.com/2012/11/security_issue.html
http://heartbeat.skype.com/2012/11/security_issue.html
Мне представляется только один способ восстановления угнанного акка.
Если вы зачисляли туда средства, то можно в саппорт предоставить даты и суммы и подтверждающие документы оплаты.
Возможно это может являться способом восстановления доступа.
Для тех, кто платежи не вносил, советов нет…
Если вы зачисляли туда средства, то можно в саппорт предоставить даты и суммы и подтверждающие документы оплаты.
Возможно это может являться способом восстановления доступа.
Для тех, кто платежи не вносил, советов нет…
Описано также в Викиреальности: http://wikireality.ru/wiki/Взлом_аккаунта_Скайпа, можно дополнять.
UFO just landed and posted this here
Пообщался с саппортом.
В общем, пока у тех у кого угнали и сменили мыло, а также нет истории покупок все плохо.
Так как саппорт, пока никак не поможет.
Есть надежда, что сделают процедуру для возврата, но опять же упирается все в то, есть ли история смен емейлов. По логике быть она должна.
В общем, пока у тех у кого угнали и сменили мыло, а также нет истории покупок все плохо.
Так как саппорт, пока никак не поможет.
Есть надежда, что сделают процедуру для возврата, но опять же упирается все в то, есть ли история смен емейлов. По логике быть она должна.
Я тоже пообщался сначала с одним индусом, потом со вторым индусом-специалистом, который сказал, что перенаправит кейс к специалистам (во иерархия у них-то!).
Впрочем, они восстановили уже мой мейл. Ну а пароль пока поменять невозможно.
p.s, у меня покупок не было, но были использованные ваучеры и акции
Впрочем, они восстановили уже мой мейл. Ну а пароль пока поменять невозможно.
p.s, у меня покупок не было, но были использованные ваучеры и акции
Отлично! Следовательно не все так плохо, по поводу акций и ваучеров пожете поподробнее рассказать?
Поскольку я не коннектил кредитку, то единственной возможностью показать «покупку» была указать номер заказа (Order) от использованных ваучеров/акций. Не знаю, равноценны ли они покупке с кредитки, но, похоже, им хватило.
Короче, похоже, после разговора днём они поменяли мейл, но поменять пароль я не смог поменять из-за общего запрета.
Через пару часов снова получил письмо, что поменялся мейл моего аккаунта (на тот же хакерский).
Сейчас я снова списался с поддержкой и они вернули мой мейл и заблокировали мой аккаунт на 24ч. Просят потом поменять пароль и написать им, чтобы разблокировали.
Через пару часов снова получил письмо, что поменялся мейл моего аккаунта (на тот же хакерский).
Сейчас я снова списался с поддержкой и они вернули мой мейл и заблокировали мой аккаунт на 24ч. Просят потом поменять пароль и написать им, чтобы разблокировали.
А вот и еще один повод перехода с этого месенджера на более удачные технологии…
Например какие?
Я вот собираюсь на google talk.
Сравните задержки, нагрузка на цп, качество звука.
В текстовом режиме не замерял, но на глаз — не сильно больше. В видео режиме — как-то тоже не заметил. А вот звук у меня почему-то получался лучше чем в скайпе. И да — скайп не позволяет одновременно расшаривать свой экран обоим собеседникам одновременно. А вот google talk — позволяет.
С точки зрения баги в сабже, gtalk от скайпа ничем принципиально не отличается. Там также могут найти дырку, увести логин и вы также будете доказывать саппорту, что вы это вы. Только в этот раз саппорту гугла, который также будет тупить и отписываться шаблонами, потому что на первую линию специалистов не сажают. Это шило на мыло.
Настоящее решение: свой, контролируемый xmpp сервер. Увести логин смогут и там, но у вас будут все логи, и возможность вернуть логин с важными контактами, ничего никому не доказывая.
Настоящее решение: свой, контролируемый xmpp сервер. Увести логин смогут и там, но у вас будут все логи, и возможность вернуть логин с важными контактами, ничего никому не доказывая.
А вы на него сами-то свою маму сможете посадить? Что бы у нее не возникало дополнительных вопросов, а как же мне сыну позвонить?
Даже не пытался. Также я не использую xmpp практически. На работе скайп, да и среди домашних тоже.
Но сути это не меняет. Уходить со скайпа на gtalk из-за этой баги — пустые телодвижения. Если нужно решение, гарантия и безопасность — то свой xmpp сервис (или аутсорс), правда придётся пересаживать контакты, переучваться и т.п. Выбор у каждого свой.
P.S.: да, gtalk, насколько я помню, это просто xmpp сервер. Маму можно и на gtalk перевести, а себе настроить сервер, если нужно.
Но сути это не меняет. Уходить со скайпа на gtalk из-за этой баги — пустые телодвижения. Если нужно решение, гарантия и безопасность — то свой xmpp сервис (или аутсорс), правда придётся пересаживать контакты, переучваться и т.п. Выбор у каждого свой.
P.S.: да, gtalk, насколько я помню, это просто xmpp сервер. Маму можно и на gtalk перевести, а себе настроить сервер, если нужно.
Я в самом начале написал, что это «еще одна причина». Вероятно я имел ввиду, что это «еще один» минус в сторону, skype и логично предположить, что есть еще кое-что, что в skype меня не устраивает. Что именно обсуждалось в комментариях вот к этому посту:
http://habrahabr.ru/post/157709/
http://habrahabr.ru/post/157709/
Если нужно решение, гарантия и безопасность — то свой xmpp сервис (или аутсорс), правда придётся пересаживать контакты, переучваться и т.п. Выбор у каждого свой.
У меня свой xmpp сервер.
Я крайне негативно отношусь к скайпу, но по голосо- видео- функциям он к сожалению выигрывает у чистого xmpp. google сильно доработал свой gtalk от xmpp, насколько я знаю.
В чистом xmpp, используя jingle (который уступает скайпу в качестве), к сожалению:
1) Данные напрямую между пользователями и мне не получилось заставить работать через STUN.
2) Насколько я понял, аудио- видео-данные не шифруются.
У меня свой xmpp сервер.
Я крайне негативно отношусь к скайпу, но по голосо- видео- функциям он к сожалению выигрывает у чистого xmpp. google сильно доработал свой gtalk от xmpp, насколько я знаю.
В чистом xmpp, используя jingle (который уступает скайпу в качестве), к сожалению:
1) Данные напрямую между пользователями и мне не получилось заставить работать через STUN.
2) Насколько я понял, аудио- видео-данные не шифруются.
Они не отключили функцию восстановления, а просто редиректят с той страницы.
Если ты в ручную POST'ишь на их страницу поле email (как было в старой форме) — то она по прежнему восстонавливает пароль!
Н-да, какой эпический баг и не менее эпический фикс его.
Только что проверил включили восстановление пароля, отключили маркер пароля который приходил в скайп.
Скажу более того при использовании маркера с почты осталась возможность выбора аккаунтов так что ждем очередную дыру.
Про вас даже по РЕН ТВ рассказали! =) Похвально.
Комментарий от Skype: «Рано утром мы получили уведомление о сообщении пользователя, касающееся безопасности функции сброса пароля на нашем сайте. Эта проблема затрагивает пользователей, зарегистрировавших несколько учетных записей Skype на один и тот же адрес электронной почты. Сегодня утром мы временно приостановили работу функции сброса пароля в целях безопасности и провели обновления в процессе сброса пароля, что наладило его работу. Мы оказываем поддержку небольшому числу пользователей, которым, возможно, пришлось столкнуться с неудобствами. Skype стремится обеспечить нашим пользователям безопасную и надежную связь, и мы приносим извинения за неудобства.»
Мда, по-моему они до сих пор не поняли главную причину проблемы: возможность добавления email адреса в Skype аккаунт без верификации этого email-a. Все остальное (типа маркер больше не приходит на Скайп клиент) — костыли.
Мы оказываем поддержку небольшому числу пользователей, которым, возможно, пришлось столкнуться с неудобствами.
Да они ох*ли. Иначе никак это не назвать.
Я понимаю что они не могут признать, что те лохи которые не слушали советов специалистов и считали скайп надежным потеряли на этом десятки миллионов баксов (если не больше)… Но нельзя же так врать.
«Ошиблись, исправились, извините за созданные проблемы.» — и этого было бы достаточно.
Реквизиты платежных карт, пароли от регистраторских панелей, пароли от интернет-банкинга, клиентская база, внутренняя бухгалтерия конкурентов… это только то, что я знаю, реальные кейсы так сказать… А что нарыбачили мошенники так страшно подумать.
«Да, мы ох*ли, ну и что?» А если по делу, то это все не похоже на случайный баг программиста: отсутсвие верификации email-a — это 100% просчет в дизайне. Посылка уведомления на смену пароля не только в email, но и на клиент — это тоже скорее всего дизайн, а не случайная ошибка в программе. Хотя, со вторым не уверен. возможно, вместо notifyUserByEmail(passwordResetUrl) криворукий программист использовал notifyUser(passwordResetUrl)
> «Да, мы ох*ли, ну и что?» А если по делу, то это все не похоже на случайный баг программиста: отсутсвие верификации email-a — это 100% просчет в дизайне.
Тут все интереснее, это не случайный баг, это сознательное решение, для повышения юзабилити.
У них есть два сознательных послабления в интерфейсе, каждое из которых само по себе невинно и даже полезно, с точки зрения юзабилити:
1. Действительно, не так уж и нужно заставлять юзера подтверждать емейл – ведь нет смысла регить скайп на чужой емейл. И если кто-то зарегил скайп на твой емейл, то для тебя это не должно создать проблему.
2. И действительно, удобно получать маркер пароля в клиент – например скайп может стоять годами на компе и я уже забыл пароль, а емейл на который регил может быть уже удален например.
А уязвимость возникает только при комбинации этих двух послаблений. Вот так вот бывает, стараешься, делаешь удобнее людям и открывается дыра ненароком.
Тут все интереснее, это не случайный баг, это сознательное решение, для повышения юзабилити.
У них есть два сознательных послабления в интерфейсе, каждое из которых само по себе невинно и даже полезно, с точки зрения юзабилити:
1. Действительно, не так уж и нужно заставлять юзера подтверждать емейл – ведь нет смысла регить скайп на чужой емейл. И если кто-то зарегил скайп на твой емейл, то для тебя это не должно создать проблему.
2. И действительно, удобно получать маркер пароля в клиент – например скайп может стоять годами на компе и я уже забыл пароль, а емейл на который регил может быть уже удален например.
А уязвимость возникает только при комбинации этих двух послаблений. Вот так вот бывает, стараешься, делаешь удобнее людям и открывается дыра ненароком.
Вот не могу с вами согласиться.
1. Я придумал классный (еще не занятый) логин скайпа. Я регистрирую его и… ошибаюсь в заполнении мыла. Прощай красивый логин навсегда? То что там дважды вводить почту при регистрации надо — в рассчет брать нельзя, потому как почта часто копипастится. Банально меня может переклинить, и к gmail например я могу приписать ru домен (было так уже пару раз)
2. Данная функция удобна только в одном случае. У тебя стоит скайп на машине, и надо поставить на телефон например, а почта от скайпа забыта. Однако если ты «утратил» почту, и нет не единого залогиненого скайпа — то все? Прощай скайп? Так что почту терять — нельзя. Иначе в один прекрасный день рано или поздно будет «ой». Если бы они хотели удобство в этом плане — то могли бы вообще не привязывать акк скайпа к почте.
В общем очень сомнительные эти удобства.
1. Я придумал классный (еще не занятый) логин скайпа. Я регистрирую его и… ошибаюсь в заполнении мыла. Прощай красивый логин навсегда? То что там дважды вводить почту при регистрации надо — в рассчет брать нельзя, потому как почта часто копипастится. Банально меня может переклинить, и к gmail например я могу приписать ru домен (было так уже пару раз)
2. Данная функция удобна только в одном случае. У тебя стоит скайп на машине, и надо поставить на телефон например, а почта от скайпа забыта. Однако если ты «утратил» почту, и нет не единого залогиненого скайпа — то все? Прощай скайп? Так что почту терять — нельзя. Иначе в один прекрасный день рано или поздно будет «ой». Если бы они хотели удобство в этом плане — то могли бы вообще не привязывать акк скайпа к почте.
В общем очень сомнительные эти удобства.
>Я придумал классный (еще не занятый) логин скайпа. Я регистрирую его и… ошибаюсь в заполнении мыла.
>Прощай красивый логин навсегда?
Почему? После регистрации вы можете зайти в профиль на сайте и поменять почту на правильную.
>Однако если ты «утратил» почту, и нет не единого залогиненого скайпа — то все? Прощай скайп? Так что почту терять — нельзя.
Терять нельзя, но иногда теряют же, взламывают например или почту могут удалить после длительного неиспользования.
>Прощай красивый логин навсегда?
Почему? После регистрации вы можете зайти в профиль на сайте и поменять почту на правильную.
>Однако если ты «утратил» почту, и нет не единого залогиненого скайпа — то все? Прощай скайп? Так что почту терять — нельзя.
Терять нельзя, но иногда теряют же, взламывают например или почту могут удалить после длительного неиспользования.
Пример юзеркейса для второго случая
Например когда регил скайп сделал почту только для него, больше ею не пользовался (не нужна).
Потом пользовался год скайпом, теперь хочу поставить на другую машина и понимаю, что пароль не помню, лезу на почту – оп-па ее уже удалили, за неиспользование. Что теперь делать?
Естественно, если бы пароль не был вбит в клиент, то я бы его вряд ли забыл, потому что приходилось бы вводить каждый раз. А когда клиент логинится автоматом, то это повышенный риск забыть пароль со временем.
То есть в Скайпе как раз подумали про такие ситуации, а не от балды так сделали.
Например когда регил скайп сделал почту только для него, больше ею не пользовался (не нужна).
Потом пользовался год скайпом, теперь хочу поставить на другую машина и понимаю, что пароль не помню, лезу на почту – оп-па ее уже удалили, за неиспользование. Что теперь делать?
Естественно, если бы пароль не был вбит в клиент, то я бы его вряд ли забыл, потому что приходилось бы вводить каждый раз. А когда клиент логинится автоматом, то это повышенный риск забыть пароль со временем.
То есть в Скайпе как раз подумали про такие ситуации, а не от балды так сделали.
Правильное упрощение или нет это дело десятое, вы не о том спорите…
Вопрос как самим избегать таких ситуаций? Какое тестирование спасло бы тут?
Вопрос как самим избегать таких ситуаций? Какое тестирование спасло бы тут?
Их спасла бы четкая политика относительно емейлов, чтобы не было в разных частях системы разного уровня доверия к нему.
С одной стороны они поддались моде, что не надо сильно привязываться к емейлу (его не подтверждают при регистрации, емейл можно менять без подтверждения, токен высылают не только на емейл).
А с другой стороны дополнительные аккаунты связаны через емейл, то есть тут уже емейл имеет даже большее значение для идентификации владельца, чем пара логин / пароль от аккаунта.
С одной стороны они поддались моде, что не надо сильно привязываться к емейлу (его не подтверждают при регистрации, емейл можно менять без подтверждения, токен высылают не только на емейл).
А с другой стороны дополнительные аккаунты связаны через емейл, то есть тут уже емейл имеет даже большее значение для идентификации владельца, чем пара логин / пароль от аккаунта.
Это все да.
Но это мы можем говорить постфактум.
Когда N лет назад я слил базу САПЕ всем кто в теме было понятно «Ну конечно же, черный список… как они могли так протупить то?». Тут даже не надо было что-то узнавать от меня — как только стало понятно что это возможно, так сразу понятно стало как…
И сразу куча объяснений как и почему…
Когда кто-то умный додумался использовать XSS для накачки ссылочного, и потом метод стал известен, то тоже все было понятно «ну конечно это же потому-то и тому-то… очевидно»…
Когда Адвего скопировали у меня «семантический! анализатор, то это все тоже было очевидно… Ведь были сотни таких же сервисов, в общем то кроме „водности“ ничего нового там и не было. А то какие показатели читать/выводить и как их оформить — ну так когда уже есть готовое решение то оно ведь очевидно, что именно так правильно а не иначе. (По себе знаю — когда у тебя нет технологий, но есть чужой продукт который работает, то просто написав на него ТЗ и чуть доработав сделать проще, чем когда у тебя технологии есть, а вот как оно должно выглядить нет)
Все правила придуманные после это не правила…
Вот когда контакт „копировал“ интерфейс фейсбука, то там были определенные правила, которые более-менее стандартны, а не чисто для кейсов ВК/фейсбук. Это и цветовая гамма, и разделение функциональных блоков, и сайдбар… И структура социалок к тому моменту уже была более-менее отработана, и не была уникальной у фейсбука…
Когда дядю Васю ломают через SQL-инъекцию в рефферер, то тут таки да, есть правила: будь осторожен с входными данными, даже если это нестандартный источник, фильтруй вход базы, а не надейся на фильтр входных данных, и т.п.
Вот собственно и хотелось бы обсудить какие есть общие рекомендации. Какие уроки мы можем вынести из этого феерического фейла?
Мысли у меня пока сумбурные:
1 — Суперкончерватизм с чувствительными данными — работает, не трогай. Не помнишь зачем это устрожение, но с ним не ломают уже десять лет? Оставь, пусть это и паранойя.
2 — У всего, даже очевидного, должна быть НАРИСОВАННАЯ структура, и никаких изменений в реале пока нет измененной структуры на макете… ДАЖЕ ОЧЕВИДНЫХ ИЗМЕНЕНИЙ…
Собственно вокруг второго пункта думаю надо думать… Ведь тут на лицо именно накопление мелких, в сущности по отдельности правильных решений, но когда сделали merge этих изменений получилась кака…
ПЫСЫ: Когда писал подумалось: А что если оно так и было? Оба изменения делались независимо и одновременно… они были тщательно описаны и протестированны. С полным кейсом, и с задумчивым ПМ курящим бамбук над каждой формочкой и представляющим себя пользователем или хакером… Но когда их объединили тест был банальный, механический юнит-тест на целостность старого и собственно функционирование нового…
Но это мы можем говорить постфактум.
Когда N лет назад я слил базу САПЕ всем кто в теме было понятно «Ну конечно же, черный список… как они могли так протупить то?». Тут даже не надо было что-то узнавать от меня — как только стало понятно что это возможно, так сразу понятно стало как…
И сразу куча объяснений как и почему…
Когда кто-то умный додумался использовать XSS для накачки ссылочного, и потом метод стал известен, то тоже все было понятно «ну конечно это же потому-то и тому-то… очевидно»…
Когда Адвего скопировали у меня «семантический! анализатор, то это все тоже было очевидно… Ведь были сотни таких же сервисов, в общем то кроме „водности“ ничего нового там и не было. А то какие показатели читать/выводить и как их оформить — ну так когда уже есть готовое решение то оно ведь очевидно, что именно так правильно а не иначе. (По себе знаю — когда у тебя нет технологий, но есть чужой продукт который работает, то просто написав на него ТЗ и чуть доработав сделать проще, чем когда у тебя технологии есть, а вот как оно должно выглядить нет)
Все правила придуманные после это не правила…
Вот когда контакт „копировал“ интерфейс фейсбука, то там были определенные правила, которые более-менее стандартны, а не чисто для кейсов ВК/фейсбук. Это и цветовая гамма, и разделение функциональных блоков, и сайдбар… И структура социалок к тому моменту уже была более-менее отработана, и не была уникальной у фейсбука…
Когда дядю Васю ломают через SQL-инъекцию в рефферер, то тут таки да, есть правила: будь осторожен с входными данными, даже если это нестандартный источник, фильтруй вход базы, а не надейся на фильтр входных данных, и т.п.
Вот собственно и хотелось бы обсудить какие есть общие рекомендации. Какие уроки мы можем вынести из этого феерического фейла?
Мысли у меня пока сумбурные:
1 — Суперкончерватизм с чувствительными данными — работает, не трогай. Не помнишь зачем это устрожение, но с ним не ломают уже десять лет? Оставь, пусть это и паранойя.
2 — У всего, даже очевидного, должна быть НАРИСОВАННАЯ структура, и никаких изменений в реале пока нет измененной структуры на макете… ДАЖЕ ОЧЕВИДНЫХ ИЗМЕНЕНИЙ…
Собственно вокруг второго пункта думаю надо думать… Ведь тут на лицо именно накопление мелких, в сущности по отдельности правильных решений, но когда сделали merge этих изменений получилась кака…
ПЫСЫ: Когда писал подумалось: А что если оно так и было? Оба изменения делались независимо и одновременно… они были тщательно описаны и протестированны. С полным кейсом, и с задумчивым ПМ курящим бамбук над каждой формочкой и представляющим себя пользователем или хакером… Но когда их объединили тест был банальный, механический юнит-тест на целостность старого и собственно функционирование нового…
Не пойму, почему не использовать главное меню Skype — Изменить пароль, а идти куда-то на сайт, который найти надо, и получать маркер в клиент? Не вяжется.
Играем с друзьями в «Account Conquest», захватываем акаунты один у другого.
Как вообще к этой техподдержке обратится? Я покупал раз кредиты, но через форму отказывается принимать данные, ругаясь на fistname, lastname и country?
Сегодня ночью чуть не угнали скайп, в 8:30 пришло два письма на мыло, что «Добро пожаловать в Skype!» (на разные мыла, не знали, какой точно используется, видимо) и логины username.username и username.username1. Ничего о баге тогда не знали, все что додумались предпринять — быстро сменить от этих двух новых логинов пароли. К счастью, скорее всего долбился очередной школьник и идти дальше не стал, потому что списав это на бота или на то, что кто-то хотел представиться не собой, пошли спать, а сейчас вот такое обнаружили. Пока меняли почту, уже баг прикрыли…
Спасибо хабру за инфу.
Спасибо хабру за инфу.
Добавьте в UPD к статье, что баг уже полностью пофикшен и ключ для смены пароля приходит ТОЛЬКО на email.
Хотя лично моё мнение, человек, который сгенерировал идею привязывать что угодно к email без подтверждения самого email pаслуживает звания «Дегенерат года». Это годится только для сайтов вроде ололоша.юкозе.ру, но уж точно не для многомиллионного проекта и M$. Именно это — баг, который необходимо исправить, а не только сделать, чтобы ключ не приходил куда не надо.
Хотя лично моё мнение, человек, который сгенерировал идею привязывать что угодно к email без подтверждения самого email pаслуживает звания «Дегенерат года». Это годится только для сайтов вроде ололоша.юкозе.ру, но уж точно не для многомиллионного проекта и M$. Именно это — баг, который необходимо исправить, а не только сделать, чтобы ключ не приходил куда не надо.
Согласен. В дополнение, идея привязывать один и тот же mail к нескольким аккаунтам (даже верифицировав этот mail)- тоже далеко не самая лучшая. Создает много проблем в поддержке системы, а преимущества далеко не очевидны.
Баг пофикшен, а скайп черт восстановишь.
Только что сидел около часа общался с саппортом скайпа.
Они меняют мейл, но в течение 3 минут кто-то меняет мейл обратно. И так раз 5 пробовали на разные мейлы. На разных компьютерах пробовали, думали может вирус где. При этом ни одна почта не взломана и везде в журнале посещений мой IP. Антивирусами все проверяли, файрволл стоит.
Зная пароль и почту на которую изменили, разве можно установить свою почту?
Есть конечно 1 выход. Сразу как только поставят новую почту, мигом запросить маркер и поставить пароль.
Пока заморозили аккаунт, до завтра. когда будет снят лимит на отправку восстановления пароля, сказали еще написать, попробуем.
Жутко я им надоел, сто раз извинился, и не знаю что делать, может и правда я где-то кейлоггер подхватил.
Но Если бы тащили пароли, то тащили бы от всего. А тут только скайп, все остальное не тронуто.
Только что сидел около часа общался с саппортом скайпа.
Они меняют мейл, но в течение 3 минут кто-то меняет мейл обратно. И так раз 5 пробовали на разные мейлы. На разных компьютерах пробовали, думали может вирус где. При этом ни одна почта не взломана и везде в журнале посещений мой IP. Антивирусами все проверяли, файрволл стоит.
Зная пароль и почту на которую изменили, разве можно установить свою почту?
Есть конечно 1 выход. Сразу как только поставят новую почту, мигом запросить маркер и поставить пароль.
Пока заморозили аккаунт, до завтра. когда будет снят лимит на отправку восстановления пароля, сказали еще написать, попробуем.
Жутко я им надоел, сто раз извинился, и не знаю что делать, может и правда я где-то кейлоггер подхватил.
Но Если бы тащили пароли, то тащили бы от всего. А тут только скайп, все остальное не тронуто.
Ну здрасте, после утрешнего «хака» получил это:
Несанкционированные действия на вашем счете в Skype
Из-за подозрительной активности в качестве меры предосторожности мы временно заблокировали Вашу учетную запись. Мы придаем...
После дружеского хака аккаунт заблокировали, провел процедуру ответа на вопросы типа «когда вы зарегистрировали акканут skype?» Блок не снимают, ибо я восстанавливал пароль сам по email и теперь мне приходят письма типа:
Видеосвязь – это счастье всегда быть рядом…
Здравствуйте, XXX!
Надеемся, что Skype дарит Вам одно удовольствие. Знаете ли Вы, что Вы можете совершенно бесплатно общаться по видеосвязи с другими абонентами Skype?..
Отличная работа!
Видеосвязь – это счастье всегда быть рядом…
Здравствуйте, XXX!
Надеемся, что Skype дарит Вам одно удовольствие. Знаете ли Вы, что Вы можете совершенно бесплатно общаться по видеосвязи с другими абонентами Skype?..
Отличная работа!
Зачем так это можно не читать много это было лень удалять — проще зачеркнуть зачеркнутого текста?
На момент написания сообщения полная схема была неизвестна.
ТС решил оставить старый вариант для истории. Лично мне было интересно узнать с какого описания все начиналось и как потом схема была дополнена до рабочей. Ну и в начале ветки есть немного обсуждений на тему того что это невозможно, работать не будет, зря написали нерабочую схему и т.п. Если оставить только рабочий вариант то написавших можно посчитать неадекватами и заминусовать, хотя они отвечали в чуть другой ситуации…
ТС решил оставить старый вариант для истории. Лично мне было интересно узнать с какого описания все начиналось и как потом схема была дополнена до рабочей. Ну и в начале ветки есть немного обсуждений на тему того что это невозможно, работать не будет, зря написали нерабочую схему и т.п. Если оставить только рабочий вариант то написавших можно посчитать неадекватами и заминусовать, хотя они отвечали в чуть другой ситуации…
Это я один такой везунчик, или у всех форма связи с саппортом не работает?
Два дня назад сломали скайп подрядчика-фрилансера описанным в статье образом. Есть подозрение, что уязвимость не устранена (по крайней мере до конца).
О ужас… Были тоже как-то проблемы с рабочим Skype. Так же был взломан, правда был взломан через пополнение баланса. Мошенник пополнял Skype на 0.1$-2$ несколькими суммами. После писал в службу поддержки с обвинениями что я пополнил не могу войти. Предоставлял чеки и техническая поддержка самостоятельно ему меняла мой e-mail и буквально отдавала аккаунт.
Таких случаев было масса. Мошенник после шантажировать пытаться. Выход один — писать в чат поддержки Skype объяснять на английском ситуацию и в течении пару дней они вам пришлют ссылку на почту вы смените пароль. А когда войдете в аккаунт увидите там уже и e-mail взломщика (поддержка Skype даже его e-mail который он ввёл на мой аккаунт не соизволила убрать).
Таких случаев было масса. Мошенник после шантажировать пытаться. Выход один — писать в чат поддержки Skype объяснять на английском ситуацию и в течении пару дней они вам пришлют ссылку на почту вы смените пароль. А когда войдете в аккаунт увидите там уже и e-mail взломщика (поддержка Skype даже его e-mail который он ввёл на мой аккаунт не соизволила убрать).
Уязвимость в skype, позволяющая угнать любой аккаунт