Очередная дыра в системе безопасности Skype


    ПРЕДИСЛОВИЕ

    Осенью 2012 года уважаемое сообщество уже обсуждало уязвимость в Скайпе. Обсуждение прошло по всем крупным новостным сайтам и получило широкую огласку т.е. прошло очень удачно, в результате Майкрософт наконец-то закрыл эту уязвимость. Цель этой статьи аналогична — привлечь к проблеме как можно больше внимания в надежде что Майкрософт отреагирует и исправит свою систему безопасности в Скайпе.

    Через эту дыру невозможно взломать скайп аккаунт, однако последствия могут быть еще печальнее. В системе безопасности скайпа есть такой сервис, нажав правой кнопкой мышки на контакте, из контекстного меню можно выбрать пункт «Заблокировать этого пользователя» и поставить галочку в пункте «Сообщить о нарушении правил этим абонентом».



    Этот сервис прекрасно работает и помогает в борьбе со спамом. Но как всегда нашлись «предприимчивые» пользователи и теперь используют этот сервис в «борьбе с неугодными» пользователями скайпа. Как это работает — можно сделать поиск по логину и непосредственно из поиска блокировать и репорт делать или, зная логин, просто вызывать меню через skype:insert_username_here?menu.

    По предварительным подсчетам достаточно 9 (возможно больше) таких жалоб и аккаунт автоматически блокируется. Сейчас эти новоявленные «хакеры» уже собираются в группы, размещают через соц. сети информацию какой аккаунт нужно заблокировать и он блокируется в течение очень короткого времени.

    Теперь самое неприятное — служба поддержки скайпа не рассматривает никакие конкретные случаи автоматической блокировки аккаунта. Ответ один — вы нарушили пункт 6.3 Условий использования Skype. В результате что получается — если у вас есть важные контакты, история переписки, красивый и запоминающийся логин, к которому вы уже давно привыкли, оплаченные подписки, деньги на балансе и т.п. вы потеряете это все и навсегда. Угнанный аккаунт можно восстановить через саппорт, доказав что это ваш аккаунт, а в этом случае доказывать что-то бесполезно.

    На форуме скайпа эта проблема уже давно обсуждается, вот одна из тем goo.gl/64aDA, но к сожалению ничего не меняется. Автор этих строк пострадал лично от потери аккаунта, но возможно кто-то не считает сложившуюся ситуацию с автоматическими блокировками в Скайпе проблемой, прошу обсудить это в комментариях.

    Only registered users can participate in poll. Log in, please.

    Что бы сделали вы, если бы ваш аккаунт был заблокирован таким образом?

    Share post

    Comments 105

      +19
      Альтернативу искать бесполезно, это как с аськой в прошлом — перейти самому можно, но перетащить 100500 собеседников… а вообще новость печальная.
        0
        Всё, на что Майкрософт наложило свою лапу, становится печальным.
          +12
          А при чем тут Майкрософт? Этот функционал был и до них, и проблемы были те же.
            +16
            Они не хотят обращать внимание на проблему.
              +1
              Может вы не вкурсе, но MS не может влиять на политику Skype(вроде как в условиях покупки было).
                0
                Мне даже интересно послушать мнение людей которые минусуют, когда им говорят что MS не влияет на решения другой компании, хоть она ей и владеет? :)
                  +5
                  Может это и так, но именно после покупки МС стали исчезать старые фичи. До этого они в основном появлялись.
                  Rich Formatting, возможность модерирования, Ctrl+Enter для отправки…
                    +3
                    В целом согласен, тоже сижу на 5.5 из-за поддержки отправки html-кода.
                    А что не так с Ctrl+Enter для отправки?
                    Даже в последней версии можно назначить Enter на перенос строки.


                  +5
                  Я конечно не в курсе, а разве пункт в лицензионном соглашении о прослушке скайп, не изменение политики скайп.
                  +3
                  Но это не техническая проблема. Точно так же можно зарепортить в FB и где угодно.
                    +3
                    Это именно техническая проблема из-за автоматической блокировки. Видел даже группы в ВК по коллективной блокировке скайпов.
                    Проблема существует давно. Исправят скорее всего когда половина сотрудников в MS окажутся в бане таким методом.
                      +5
                      Скорее всего это единственный способ быстро и верно достучаться до них. Заблочить аккаунты высшего звена и сразу все разрешится )
                      • UFO just landed and posted this here
                          +1
                          ещё раз значит заблокировать, и ещё раз.
                          +4
                          Ну а в чем пробелма? Давайте в комментах соберемся и заблочим Балмера :))
                            +9
                            а у кого есть скайп Балмера?
                            –1
                            IF NOT(company='Microsoft' AND fired=0)
                            BEGIN
                            END
                            Хоть обблокируйся.
                              0
                              Значит бабушек, дедушек, жен, друзей блокировать.
                              Нужно только узнать их )
                            0
                            Достаточно было бы упростить систему анализируя поведение пользователей, на которых жалуются. MS собирает все ссылки с переписки, потому можно оценить их процент в тексте, как быстро пользователь начинает спамить ссылку, как быстро его удаляют с контактов, как долго он зарегистрирован…
                              +2
                              Вот такие группы

                              vk.com/off.skype
                              vk.com/block_nax
                              vk.com/blok_skype
                            –1
                            К MS прямого отношения это не имеет.
                            Скайп по факту — отдельная организационная единица.
                            MS, как и всякая крупная корпорация, привнес бюрократии в процессы, но разрабы и лиды в скайпе свои.
                            Т.ч. на МС можно свалить только необходимость обоснования и согласования всех изменений по всем уровням, но никак не дыры в безопасности или куцый функционал.
                        +98
                        перейти самому можно, но перетащить 100500 собеседников…

                        Можно забанить собеседников предложенным способом. И им придется искать альтернативу =)
                          0
                          Потопить скайп… Несмотря на жестокость, конечно, идея красивая…
                            0
                            Да-да-да, и начать надо со своего генерального директора… )
                          0
                          Ну почему же? Google Voice, ooVoo, Tango…

                          Понятно, что контакты потеряются, но если руководство Skype не устарнит проблему — потеряют клиентов, а потеряв клиентов — потеряют и популярность.

                          Хотя конечно новость удручает…
                            0
                            На Viber народ начал мигрировать потихоньку.
                              0
                              Ну тогда уж RedPhone )))
                                0
                                Кстати да, последние несколько месяцев довольно активно его устанавливают (имею ввиду личные телефонные контакты)…
                              +11
                              >>перейти самому можно, но перетащить 100500 собеседников…

                              Теперь вы можете их заблокировать и перевести на открытый протокол!
                                +1
                                Обратись к этим ребятам и «заблокируй» нужных тебе людей. Сразу пересядут.
                                +31
                                Эта статья — генератор новых «хацкеров»)
                                  +11
                                  То есть нужно «молчать в тряпочку». Ваши предложения пострадавшим?
                                    +4
                                    Эта статья — генератор новых «хацкеров»)

                                    «Школо-хацкеров»

                                    А вообще, это грубо говоря катастрофа! Столько организаций и фирм завязано на этом скайпе, а администрации хоть бы хны!
                                    Как дальше жить?!
                                      +4
                                      Именно! Сервис настолько популярен в бизнесе, что этому бизнесу создается реальная угроза.
                                        –2
                                        Хватит уже школу приплетать. Недалёких личностей хватает везде.
                                          0
                                          Я думаю, что если бизнес не в состоянии оценить риски, связанные с использованием какого-либо сервиса, и заранее позаботиться об альтернативе — урок будет ему полезен.
                                        +2
                                        Это жесть. Такие жалобы должна рассматривать техподдержка, а не банить автоматически.
                                        Кто-нибудь знает, как с этим обстоят дела в Google Hangouts?
                                          +24
                                          Ой… щас все программисты в офисе скинутся и забанят менеджеров :)))
                                            0
                                            главное — с бухгалтерами не попутать ;)
                                            +4
                                            А с солонками — так вообще беда.
                                              +2
                                              Ты везде это пишешь?
                                                +2
                                                Нет, только там, где вижу, как упорство недоброжелателей приводит к абсурдным мерам безопасности. Здесь пока ещё не привело, но риск присутствует. Точнее, тут меры безопасности уже абсурдны, но может быть и хуже.
                                                  0
                                                  Если доступ к солонкам будет из любой точки мира для любого из сотен миллионов человек, да ещё и автоматизируемый и с возможностью «подстав» и управления вирусами — то вы бы сразу перестали думать, что солонки — это не проблема.
                                              +7
                                              Мне кажется, Skype зашевелится в этом направлении только тогда, когда подобным образом забанят несколько учетных записей высоко сидящих в этой шарашкиной конторе людей. <irony>Кто-нибудь знает скайп-номер того же Балмера? :)</irony>
                                                +1
                                                Или можно устроить DDoS и за несколько часов забанить пару сотен тысяч аккаунтов. Пострадают тысячи, но миллионы будут спасены.
                                              • UFO just landed and posted this here
                                                  +2
                                                  Проблема не в базе контактов. Проблема в том, что базу в 1000 контактов нужно перевести (оповестить, чтоб вас по новой добавили) на новый акк, который, кстати, легко может быть забанен снова.
                                                  • UFO just landed and posted this here
                                                      +4
                                                      Объясните это менеджеру, у которого забанили рабочий акк Скайпа 8)
                                                        0
                                                        Is there (web-) app for that?
                                                        • UFO just landed and posted this here
                                                        0
                                                        а не подскажете как юзать это апи?
                                                        • UFO just landed and posted this here
                                                        • UFO just landed and posted this here
                                                          • UFO just landed and posted this here
                                                            • UFO just landed and posted this here
                                                              • UFO just landed and posted this here
                                                                • UFO just landed and posted this here
                                                                  • UFO just landed and posted this here
                                                                      0
                                                                      А разве Вы один читатель этого топика? Возможно, что кто-то из программистов увидев ссылки, приведенные выше по тексту, возьмет и напишет для специалистов в других областях полезную программу. В конце концов, если ваши контакты представляют для Вас определенную ценность, выраженную некоторой суммой в рублях, то в случае форсмажорных обстоятельств, описанных в статье, у Вас будет возможность получить контакты обратно- для этого просто нужно разместить задачу на Фрилансим.ру с указанием того, что возможное решение указано в коментариях к этому топику.
                                                        • UFO just landed and posted this here
                                                          • UFO just landed and posted this here
                                                            • UFO just landed and posted this here
                                                              +1
                                                              > vi /boot/grub/grub.conf
                                                              It's a trap!
                                                                0
                                                                SQL запрос покороче будет…
                                                                +1
                                                                Есть еще программы типа SkHistory, вся переписка тоже хранится локально, и там ее можно удобно прочитать, не авторизуясь даже.
                                                                +13
                                                                Заблокируйте меня, skype-логин: zhovner
                                                                  0
                                                                  done
                                                                    0
                                                                    прости, внес свой вклад
                                                                      0
                                                                      ну как? еще живой акк?))
                                                                        +1
                                                                        Пока работает.
                                                                          +1
                                                                          а сейчас?
                                                                            0
                                                                            И сейчас.
                                                                              0
                                                                              Мы все за Вас переживаем! )
                                                                                +15
                                                                                А вы уверены, что это его логин, а не zhovner-врага хабра-zhovner'а, которого этот хабра-zhovner хочет заблокировать?
                                                                                  +3
                                                                                  Вот чёрт! Хакеры хакнули хаброэффект! :)
                                                                        0
                                                                        Я тоже помог. Ну как?
                                                                          +1
                                                                          Никак, все работает. Мне уже десяток человек сказали что заобузили. Но я точно знаю что описанное в статье работает правда неясно как.

                                                                          image
                                                                        +44
                                                                        Предлагаю идею для стартапа: отснифать строку запроса для абуза и забанить Skype Test Call (echo123)
                                                                        Через gui не выходит
                                                                          +7
                                                                          image
                                                                          +6
                                                                          Чтобы обратить на проблему внимание главных менеджеров скайпа, можно попытаться узнать их (глав.менеджеров) аккаунты и попробовать их таким образом забанить.
                                                                            +4
                                                                            по запросу microsoft ищется очень много интересных результатов
                                                                            +3
                                                                            А в чем проблема решить это технически? При отправке жалобы например проверять, было ли хоть одно сообщение от аккаунта, на который идет жалоба к аккаунту, с которого была жалоба. Если нет — то жалобу и не фиксировать.
                                                                            Иначе как может досадить некий skype-аккаунт человеку, с которым у него даже и переписки не было?
                                                                              +3
                                                                              А им это… как там… «… до лампочки!» ©
                                                                                0
                                                                                Я бы ещё банил того кто наабузил.
                                                                                +3
                                                                                Прямо очередная дыра в безопасности
                                                                                  +9
                                                                                  Хоть что-то у них в безопасности.
                                                                                    +1
                                                                                    ага,… у вас тут соль в солонках сыпется в обе стороны, можно насыпать в солонку яду… © хакер в столовой
                                                                                    0
                                                                                    Угнанный аккаунт


                                                                                    Погодите, что-то не уловил.
                                                                                    Как здесь угон-аккаунта происходит? Насколько я понял, акк блокируется (и судя по всему, на него нельзя зарегаться).
                                                                                    Что я не правильно понял?
                                                                                      0
                                                                                      Господа минусующие, объясните, пожалуйста.
                                                                                      Я же сразу спросил.
                                                                                        +1
                                                                                        Угон аккаунта приводится в противопоставление, а не сравнение.
                                                                                          0
                                                                                          Спасибо, теперь понял.

                                                                                          Подскажите, почему нельзя было сразу это объяснить (если я в самом начале признал, что я что-то неправильно понял), а не просто молча минусовать?
                                                                                      0
                                                                                      А MSN-юзеров так можно банить?
                                                                                        +1
                                                                                        Эту тему нужно поднять где-нибудь в анлоязычном интернете и на hacker news, иначе всё бесполезно будет, локальный местный шум им пофиг абсолютно.
                                                                                          0
                                                                                          Как правильно писали выше, наиболее действенным должен выйти бан руководящего состава.
                                                                                          0
                                                                                          Ну вот и прорубили Окна в Скайпе…
                                                                                            0
                                                                                            Еще мне в скайпе не нравится, что можно на любое мыло зарегистрировать аккаунт (без подтверждения с этого мыла). Потом спокойно пользоваться аккаунтом, до тех пор, пока владелец мыла не сменит пароль. Понятно, что это мягкая уязвимость, но, все равно, неприятная.
                                                                                              0
                                                                                              Кинул ссылку на статью в твиттере человеку из российской MS twitter.com/abeshkov

                                                                                              Вряд ли особо поможет, но мне не влом, подписан на него )
                                                                                                0
                                                                                                Недавно только в бете закрыли дыру для Skypegrab, она еще не вышла, может и это исправят.
                                                                                                  0
                                                                                                  Нашел бы альтернативу

                                                                                                  Альтернатив хватает, вот только мало у кого есть клиенты под Linux
                                                                                                    +1
                                                                                                    Корпоративные акки так можно убивать?
                                                                                                    К примеру у Приватбанка очень сильно был (и сейчас вероятно тоже) бизнес завязан на скайпе — внутренняя переписка у сотрудников, общение с клиентами… Если их забанить, то всё станет у них.
                                                                                                    Убили бы двух зайцев — Приват бы добился чтобы разбанили, но заодно таки начал бы искать альтернативу. И пользователям привата стало б спокойнее за свои деньги…
                                                                                                      0
                                                                                                      Это всё происки GMO :-)
                                                                                                      Подобные дыры есть и в других системах, о чём я недавно написал в habrahabr.ru/post/190062/
                                                                                                      Проблема в том, что у кого-то неприемлемые бизнес-модели.
                                                                                                      К сожалению я не могу перекинуть к Хаб «Информационная безопасность»?
                                                                                                      0
                                                                                                      А сколько Интернет-магазинов могут конкурентам помочь снизить обороты :-)
                                                                                                        0
                                                                                                        Есть предположение, что это хрень работает, только если вы недавно отправляли ссылки кому-нибудь.
                                                                                                        В твиттере тоже есть кнопка заблокировать за спам. Так вот, насколько я видел, она не работает, пока пользователь сам энное кол-во ссылок не отправит.

                                                                                                        Only users with full accounts can post comments. Log in, please.