giu 04 2009
Skype: pericolo sicurezza per gli account?
Pubblicato da Roberto Scano alle ore 16:52 in Random bits
34425.50 
View blog reactions
Oggi mi è successo per la seconda volta un fatto alquanto strano. Ho aiutato un amico ad installare skype sul suo PC: è una persona di mezza età, con un nome e cognome non tanto comune e che ha un soprannome. Abbiamo quindi scaricato skype, avviato la procedura di creazione di un nuovo utente inserendo tutti i dati necessari, compresa la password che (nonostante la mia contrarietà), ha voluto “battezzare” con il suo soprannome. Confermiamo i dati, skype comincia a macinare per registrare il nuovo utente e come per magia ci troviamo all’interno di skype ma non con l’elenco contatti contenente il solito “test di chiamata”, ma con una serie di contatti. Apriamo quindi il profilo utente e vediamo che skype in fase di registrazione di nuovo utente, avendo “riconosciuto” il nome utente e la password di un altro utente precedentemente registrato, c’ha non solo fornito accesso al profilo dell’utente ma ha pure aggiunto l’indirizzo e-mail del mio amico tra i contatti primari dell’account.
Accorto del fatto ho provveduto subito a sconnettere l’utente ed a creare un nuovo account con nome di fantasia, ma questo fatto purtroppo è già la seconda volta che mi capita. I problemi sono due:
- Gli utenti usano combinazioni di nome utente e password semplici da ricordare ma, in casi come questi, facili da poter (involontariamente) essere utilizzati per crearsi degli account
- Skype dovrebbe migliorare la procedura di registrazione nuovo utente: nel caso (non tanto remoto, visto che mi è già successo per ben due volte) che un utente crei un nuovo account con dati di login e password idendici ad altro utente ma utilizzando diverse informazioni (esempio: nel caso del mio amico l’indirizzo e-mail era differente), la procedura dovrebbe non consentire l’accesso al vecchio profilo ma informare l’utente dell’impossibilità di utilizzare quel nome utente.
Copyright © 2003-2010.
Caspita, gran problema, a maggior ragione su una base di dati come quella degli utenti skype! Dal punto di vista della sicurezza da attacchi volontari è gravissimo che non ci sia un controllo di accesso separato per registrazione e per autenticazione…vista la tendenza degli utenti a non utilizzare password sufficientemente complesse, e mancando un controllo sulle registrazioni mi viene da pensare che ci sia una bella vulnerabilità ad attacchi a compleanno (vedasi wikipedia: paradosso del compleanno)!
Beh……sarà meglio che vada a cambiare di corsa la password al mio account……e che prima o poi l’utente medio si decida ad utilizzare delle chiavi decenti!
Seguo da poco i tuoi articoli, ad ogni modo complimenti Roberto per il tuo lavoro!
Fabio
Il problema è proprio quello secondo me…
[...] ora dal blog di Roberto Scano (per chi non lo conoscesse è uno che vale la pena seguire, svolge un ammirevole lavoro nel campo [...]
Quando si fanno certi post sarebbe utile specificare bene cosa e’ successo, invece leggo un post vago con degli attacchi pero’ ben precisi.
1) che versione di Skype e’ stata usata? Non e’ menzionato.
2) mi risulta difficile credere che la registrazione abbia lasciato l’accesso ad un altro utente, in quanto questa fallisce quando si registra con un utente gia’ esistente.
Per fare una controprova provate a registrarvi col vostro utente e mettete anche la stessa password, vi dira’ che e’ gia’ preso.
3) potrebbe essere che qualcuno ha mandato uno o + inviti al tuo amico e questi vengono automaticamente inclusi in fase di registrazione. Erano questi contatti degli amici o totali sconosciuti?
4) se gli utenti usano password facili e’ colpa di Skype? Certo la validazione delle password potrebbe essere + rigida, ma gli utenti devono rendersi conto che anche il servizio piu’ stupido dovrebbe essere protetto da una password perche’ il furto di identita’ e’ una cosa pericolosa.
Pensiamo solo se qualcuno prende in mano il nostro account e comincia a chattare a caso con i nostri amici, fidanzata, moglie… che potrebbe succedere?
Ripeto:
fare articoli di sicurezza e’ un bene, farli superficiali non e’ il massimo.
Marco, mi è successo con ben 2 clienti con la versione 4. L’accesso è avvenuto all’account di un altro utente come si poteva chiaramente evincere nel profilo utente della persona in cui era stata aggiunta come e-mail secondaria la mail dell’utente che voleva registrarsi.
Come ho detto nell’articolo se gli utenti usano password stupide è un problema degli utenti, ma è anche compito del fornitore dell’applicazione evitare che succedano fatti come quelli che – personalmente – mi sono già successi per 2 volte.
ciao a tutti e spero di poter trovare aiuto in voi, ho letto roberto ed io sono una di quelle utenti ke utilizza pass stupide e ora non riesco piu ad autenticarmi in skype mi arrivano email dal centro servizi con dei seriali ke metto ma dice ke continuamente ke c’ e un errore cosa posso fare? aiutatemi per favore
p.s. uso pass stupide ma con tutte le iscrizioni ke si fanno cercando di ricordarle tutte.)
Ciao Rosy,
l’unica è provare a contattare il supporto di skype
grazie per la tua attenzione roberto, l’ho appena fatto spero tanto mi aiutino. ora sto ritentando l’autenticazione uff…
niente non va ç_ç
ciao a tutti!
ho appena inviato una mail al servizio assistenza skype e ve la posto:
“Buongiorno!
Vi posto questa mail, diretta in seguito ai numerosi tentativi da parte di terzi di aggiungermi come contatto.
E’ la terza volta che mi capita di dover bloccare richieste da parte di persone che non conosco.
Già da un paio di mesi si vociferava di un possibile attacco di hacker su skype..creazione di account fasulli, che una volta aggiunti, darebbero la possibilità a questi presunti hacker di entrare in possesso di password, dati personali etc.
Dal momento che, dapprima ai miei amici, poi a me, è accaduto questo spiacevole fatto, spero riusciate a risolvere il problema o mi vedrò costretto a cancellare il mio account per motivi di sicurezza.
in attesa di una Vostra risposta
cordiali saluti
Paolo”
NON AGGIUNGETE PERSONE NELL’ELENCO CONTATTI SE NON SAPETE CHI SONO! (GUARDATE BENE IL NOME DEL CONTATTO E PRIMA DI AGGIUNGERLO ASSICURATEVI CHE SIA PROPRIO LUI A CHIEDERVI L’AGGIUNTA MAGARI CHIAMANDOLO CON UNA TELEFONATA O CON UN SMS O SU FACEBOOK!)
SE NON LO SAPETE BLOCCATELO A PRIORI.
ciao e buon Skype a tutti!