Skype’da tespit edilen bir açık sayesinde, herhangi bir kullanıcının mail adresini bildiğiniz takdirde (şifreyi bilmeniz gerekmiyor) popüler VoIP servisi hesabını da rahatlıkla ele geçirebileceğiniz ortaya çıktı. İlk defa yaklaşık 3 ay önce Rusya’daki bir forumda tartışıldığı görülen bu açık, bugün Twitter’da yapılan paylaşımların ardından apar topar giderilmeye çalışılıyor. Skype yönetimi açığı giderinceye kadar şifre yenileme sürecini devre dışı bıraktıklarını açıkladı.
Skype şifrenizi unuttuysanız ve bugün şifrenizi yenilemeye çalıştıysanız muhtemelen bu işlemin yapılamadığı mesajını almışsınızdır. Bunun sebebi ise rutin bir bakım çalışması veya servis kesintisi değil. Aksine Skype son derece önemli bir açığı gidermeye çalışmakta. Bugün Twitter’da yoğun bir biçimde paylaşılan söz konusu açık, sadece bir kişinin Skype’a kayıt olduğu mail adresini bilerek o kişiye ait Skype hesabını ele geçirmenize olanak tanıyor. Şifre yenileme mekanizmasından faydalanarak yapılan bu basit “hack”, geçtiğimiz yıl Microsoft’un 8,5 milyar Dolara satın aldığı [1] ve şimdi de Microsoft Live markasını kapatarak MSN’in yerine tek iletişim portali haline getirmek istediği [2] Skype’ın itibarını ciddi ölçüde sarsıyor.
İlk defa 3 ay kadar önce Rus forumlarında gündeme getirilen bu açık aslında tamamıyla Skype şifre yenileme mekanizmasının Skype istemci içerisinde çalışıyor olmasından kaynaklı. Söz konusu açığın nasıl kullanıldığından bahsetmek gerekirse, birinin Skype hesabını ele geçirmek için tek yapmanız gereken şey Skype istemcisinde yeni kayıt formunu tıklayarak bu forma Skype’ta kayıtlı bir mail adresini girmek. Sistem otomatik olarak zaten bu mail adresine tanımlı bir hesap olduğu uyarısında bulunuyor. Süreç buraya kadar gayet normal bir biçimde işlemekte, zira mail adresiyle kullanıcı girişi yapılan her servis böyle bir uyarıyı rutin olarak sunmakta.
Skype’ın farkı ise, yeni şifre istedğinizde bunun mailinize gönderilmesi yerine direkt olarak Skype istemcisi içinde gerçekleşmesi ve size yeni bir şifre kodu vermesi. Üstelik bu kod sayesinde kurbanınızın Skype hesabına girmekle kalmıyor, dilerseniz o anda online olan arkadaşlarıyla yaptığı görüşme kayıtlarını da bilgisayarınıza indirebiliyorsunuz.
Söz konusu açığın Twitter’da yoğun bir biçimde tartışılması sonucunda ise Skype, bir açıklama yayınladı ve şifre yenileme işlemini soruşturma tamamlanana dek devre dışı bıraktıklarını açıkladı. Gerçekten şifresini unutan ve şifre yenileme işleminin devre dışı bırakılmasından dolayı mağdur olan kullanıcılara ise “üzgünüz ama kullanıcı deneyimi ve güvenliği ilk önceliğimizdir” şeklinde şaka gibi bir açıklama yapılmakta.
Kaspersky firması, Rusya’da muhalefetin önemli isimlerinden Alexey Navalny’nin Skype hesabının bu yöntem aracılığıyla hacklendiğini duyurmakta. Daha önce de kullanıcılara ait IP bilgilerinin son derece kolay bir biçimde tespit edilmesine aracılık eden [3] Skype’ın çok ciddi bir itibar kaybı yaşadığı söylenmekte. Bu şirketin 8,5 milyar Dolar karşılığında Microsoft tarafından satın alındığı düşünülürse, yeni lansmanlar ile gövde gösterisi yapan Microsoft’un da bu itibar kaybından payına düşeni alacağı öngöürlmekte.
[1]- Microsoft, Skype Alımını Tamamladıklarını Açıkladı
[2]- Microsoft Windows Live’ı Kapatıyor
[3]- Skype’taki Güvenlik Açığı Kullanıcıların IP Bilgilerinin Ortaya Çıkmasına Yol Açıyor

Kaynak : 