截至发稿的半小时前,Skype已经修复了通过邮箱地址重置用户密码盗取用户账户的漏洞,Skype宣称本次漏洞爆发受到影响的用户数目比较少。在最新的 一份声明中,这家微软旗下的VoIP企业表示已经对密码重置机制进行了升级,先前由于此安全问题爆发采取暂时停用的密码重置功能目前也已经恢复。 根据先前的报道,本次Skype的漏洞可在知道某用户账户email地址的情况下,通过重复注册该邮箱得到一个密码重置的令牌,及其用户名。令其他人可恶意盗用该用户账户。如果账户主人没有及时注意账户安全,那么就可能发现自己已经无法登陆Skype账户,连同Skype信用点数以及保存在云端的聊天纪录和日志都会被恶意侵入的黑客看到和利用。 “今天早晨,我们获悉我们站点的密码重置功能可遭致恶意使用。这一问题影响到了部分注册多Skype账户,但采用同一email邮箱地址注册的用户。随后我们临时停用了密码重置功能,抑制该问题的再度发生。现在我们已经对密码重置的流程进行了重新调整,目前一切工作已经恢复正常。我们已经尝试联系了少量受此问题影响的用户,需要时我们会提供相应服务和帮助。Skype一直以来都以为用户提供安全的沟通体验为己任,本次事件对用户带来的影响我们再次致以诚挚的歉意。” 实际上此问题并不是今天早上才出现的,早在数月前俄罗斯一家论坛上就有人指出了Skype的安全漏洞,但一直没有得到Skype方面的回应和重视。Skype则在本次声明中没有提及对此事的评论。
