Уязвимость Skype позволяет злоумышленникам с легкостью взломать любой аккаунт.

Схема взлома слишком проста: необходимо зарегистрировать новую учетную запись в Skype с адресом электронной почты, прикрепленным к существующему аккаунту. На этом этапе раскрывается первое слабое место в защите VoIP службы – пользователь не должен подтверждать, что он владеет заявленным адресом электронной почты.

После этого нужно авторизоваться в клиенте Skype с помощью новой учетной записи и открыть форму восстановления забытого пароля. В процессе подготовки этой публикации на сайте Skype исчезла форма восстановления забытых паролей, в которую участник форума  предлагает ввести e-mail адрес жертвы. В результате этого в клиентах всех авторизованных пользователей, использующих данный электронный почтовый ящик, появляется ссылка на форму смены пароля.

Пройдя по этой ссылке, злоумышленник может сменить, как свой пароль, так и пароль жертвы, получив, таким образом, возможность, например, разослать спам-сообщения.

До того, как на сайте Skype был заблокирован доступ к форме восстановления паролей, единственным способом защиты от уязвимости было прикрепление учетной записи Skype к новому адресу электронной почты, неизвестному злоумышленникам.