Hace unas horas fue desvelado un tremendo agujero seguridad en el sistema de recuperación de contraseñas de Skype, uno algo estúpido, casi para "exterminar al programador con fuego", dirían algunos. Básicamente, si alguien sabe el correo electrónico de tu cuenta, al abrir una cuenta nueva pueden utilizarlo para cambiar la contraseña.
Por lo pronto, Microsoft Skype ha inhabilitado su sistema de recuperación de contraseñas. En entrevista para The Next Web:
Hemos tenido reportes de una nueva vulnerabilidad. Como medida precautoria hemos inhabilitado temporalmente el restablecimiento de contraseñas en tanto continuamos investigando el asunto. Ofrecemos disculpas por la inconveniencia, pero la experiencia de usuario y la seguridad son nuestra primera prioridad.
Los usuarios de Skype ya están seguros, al menos por el momento. Antes de la medida asumida por Skype, los usuarios sólo podían defenderse al cambiar su correo de registro por uno desconocido. Parte de lo grave (y tonto) de este problema es que se podía reproducir en seis sencillos pasos, nada más siguiendo el flujo normal del formulario de creación de cuenta nueva:
- Abres una cuenta nueva
- Usas el mail de una cuenta existente
- Abres la aplicación de Skype con esas credenciales
- Solicitas la recuperación de contraseña
- Skype envía el token de recuperación de contraseña al mail y a la aplicación
- Abres el link del token, Skype detecta más de una cuenta asociada a ese mail, eliges el de la víctima: cambias la contraseña
Bruce Schneier, famoso criptógrafo, dice que "la seguridad no es producto, es un proceso". Muy bien, pero para un usuario hackeado de esa manera, vamos, la frase viene dando lo mismo.
"exterminar al programador con fuego" y la enorme jerarquía en la compañía no tuvo nada que ver... este bug suena a problema de comunicación entre equipos
Totalmente! Y para los que tienen experiencia trabajando en empresas grandes esto me suena a que alguien no se llevó muy bien por ahí ó a esto te lo hago porque me cagaste =P
Siendo Analista Funcional, opino que hay responsabilidades desde el Analista Funcional hasta el Arquitecto y los Testers. Creo que el que menos tiene responsabilidad es el Programador justamente.
Diego, siendo project manager te digo que todos pueden cometer un error en un proyecto, pero que NADIE se dé cuenta de semejante error... en proyectos asi no se pude eximir a nadie!!
mother of god Sencillo sencillo, hace 2 semanas me entere xD tenia una cuenta de skype y lo habia olvidado, hice una cuenta nueva de skype para jugar lol y me ofreció cambiar la contraseña, no pedía nada interesante... reporte el problema en seguida. estas cosas no se deben divulgar porque afecta a muchas personas
Exacto, pero pues ahora ya esta tapado, como sea en mi skype solo tengo alugunos amigos, nada muy interesante.
Canijo, mi cuenta de hace 4 años..... no!... que nunca usaba... jeje
A los que deberian de "exterminar con fuego" es los Tester's inutiles y poco a poquito pa que sufran... :p
'casi para “exterminar al programador con fuego”' Completamente innecesaria la frase... Además en pixus-ru comentan como prevenirlo, cosa que se podría explicar en la nota también y sería muy útil.
esta claro que no te enteras. para empezar en este blog se admiten opiniones de los autores. si no te gustan, vete. para continuar, el bug está ya anulado desde los servidores de skype (no leiste?)
Una vez inicié mi sesión en Skype, pero se inició la sesión de un desconocido, pude ver sus contactos y estaba en línea como si fuera él. Cerré sesión y no tuve forma de reproducirlo.
Tenía que ser Microsoft
haber, aquí nada tiene que ver microsoft, si no el equipo de Skype, que según yo sigue siendo el mismo que antes de su compra...
:D Ese era el método que alguna vez usaba para recuperar las contraseñas de amigos cuando las perdían. Entonces me preguntaban molestos que hacer con la nueva cuenta, que solo querían una... :D :D
deSvelar viene de "pasar la noche en vela", sin dormir. develar viene de "quitar el velo" permitiendo que se vea lo que estaba oculto. Así que la próxima vez, tenerlo en cuenta al redactar.
http://lema.rae.es/drae/?val=desvelar 1. tr. Descubrir, poner de manifiesto.
Así que la próxima vez, tenlo en cuenta antes de corregir
Es cierto que la RAE terminó aceptando "deSvelar" por el mal uso que durante años hizo de él la gente ignorante (like you?). Es como cocodrilo que originalmente era crocodilo.
como podeis llamar ignorante a alguien que está usando una palabra aceptada por la RAE hace años? eso si que es de ignorantes. es como su un antiguo sardo acusara a un actual francés de inculto.
desde que microsoft es el dueño cualquier cosa se puede esperar,
imaginense ahora con microsofk de dueño y tenendo acceso a la forma mas segura de transmitir virus computacionales(el tunel de comunicacion que utiliza skype) .... NO se porque lo siguen usando(windous).... en realidad no me lo explico
Por que linux es una mierda.
se te ha olvidado añadir "es lo que yo pienso". tambien seria interesante saber cuánto tiempo le has dedicado antes de emitir semejante juicio. apuesto a que menos que a windows.
no exageres. no se pasan virus... de hecho el problema no es microsoft. el bug existia hace años aunque no se hizo "disclosure". el problema de skype es la tecnología cerrada y el acceso del gobiern
Lo que sorprende es que el error salga a la luz ahora, después de tanto tiempo!!
totalmente de acuerdo. hace tanto tiempo que se sabia en circulos cerrados de usuarios avanzados, que yo ya lo daba por resuelto!
"Circulos cerrados de usuarios avanzados". What the fuck????
oh, diego, forget it.
como ya han dicho otros usarios, esto ya lo sabiamos muchos, hace años, de forma no oficial
Que miedo y así quieren migrar a todos de Messenger a eso que llaman Skype...