駭客攻擊網站、系統導致使用者帳號密碼外洩的事件時有所聞,然而,Skype日前被發現的安全漏洞,任何人只要取得使用者E-mail就可輕鬆入侵該帳號,用戶隱私輕易被攤在陽光下,令使用者不禁大嘆太過誇張。
日前(11/13)俄國網路論壇上發佈一篇文章,說明如何透過Skype漏洞入侵帳號的步驟,該文章隨後也被如Reddit等論壇轉載和討論,並引起軒然大波。文章指出,只要在Skype密碼重設頁面,輸入使用者的E-mail帳號,並更改成新的帳號密碼,就能取代原有的帳號密碼,整個過程甚至沒有重新發送通知到email信箱進行認證,就可以完成。
許多資安專家呼籲使用者,最好先將Skype帳號所使用的E-mail改成新的、過去未曾使用的E-mail。趨勢科技資深資安顧問Rik Ferguson親自測試了此漏洞,結果發現,整個過程僅需要數分鐘,就可輕易入侵他人的Skype帳號,他表示:「整個過程非常容易,就連沒有電腦操作經驗的使用者也辦得到!」
而在漏洞被揭露的隔天,微軟也暫時關閉Skype密碼重設功能,並在當天稍晚,透過部落格更新最新進度,公告該安全漏洞已經修補,同時恢復密碼重設功能。
乍看之下,Skype處理漏洞的速度相當快,但事實上,這個問題早在今年八月時就被發布到俄羅斯論壇上,當時Skype沒有做出立即處理,直到該文章於日前再度被張貼在網站時,才緊急著手修補。此外,Skype回應,僅有少數使用者受到影響,但根據揭露該漏洞的作者表示,此漏洞已經被廣為濫用,並影響到許多使用者。
Skype修補漏洞的效率受到質疑已經不是第一次,今年稍早之前,許多媒體報導Skype另一個安全漏洞,讓駭客可藉此追蹤使用者的IP位置,而且研究機構指出,該漏洞已經被發現長達一年半之久,卻未修補。早在2010年11月時,研究機構Inria與紐約大學工學院組成的研究團隊就發現此漏洞並公開研究結果,但在今年再度測試時,發現Skype竟仍未修補此安全漏洞。
從這次事件來看,對使用者而言,如同Rik所說,即使只是發信給別人,這資訊也可以用來對付你,總之,盡力維護隱私是不會錯的。不過除此之外,所有使用者也都期待的是,Skype該思考如何提升漏洞修補效率,以縮短安全空窗期,而這也是所有網路業者需要面對的問題。