Una volta informati i tecnici Skype dell’accaduto, il gruppo si è immediatamente messo al lavoro per interrompere il percorso attraverso cui il sistema può essere violato.
Skype spiega di voler risolvere in proprio il problema senza dover costringere gli utenti a cambiare password o email di riferimento sul proprio account, così da garantire la piena sicurezza delle varie identità senza attendere l’intervento di alcuno. La vulnerabilità non è stata però identificata nello specifico del codice del sistema, quanto piuttosto nel meccanismo di recupero delle password previsto. Sulla base delle evidenze trapelate, chiunque sarebbe facilmente in grado di far proprio lo username altrui riuscendo anche a modificarne la password e quindi agendo in seguito con estrema semplicità sottraendone di fatto l’identità sul network.
Il problema è stato grossolanamente risolto in pochi minuti con un intervento tale da impedire qualsivoglia attacco: il meccanismo di recupero delle password (l’elemento debole identificato nel meccanismo) è stato rimosso, così che nessuno possa approfittare del problema al diffondersi della notizia. Prima di ripristinare il servizio, i tecnici Skype dovranno ora adottare i filtri giusti per impedire che un semplice aggiramento del processo possa minare la sicurezza di milioni di account.
Fonte Webnews