Jak ukraść doładowanie konta w Skype

Strona skype.onet.pl zawiera potencjalnie niebezpieczną usterkę, umożliwiającą sprytnemu złodziejowi kradzież kodów SMS wpisywanych przez internautę.

Błąd znajduje się na stronie związanej z doładowaniem konta w usłudze SkypeOut. Informacja o tym błędzie pojawiła się najpierw na blogu Bełdzio Weblog. Sprawdziliśmy - usterka rzeczywiście istnieje, a włamywacz ma możliwość przechwycenia kodu wpisanego przez internautę. Kod taki służy do doładowania konta, otrzymywany jest jako tzw. Premium SMS i kosztuje ponad 10 zł. W tym przypadku nie ma mowy o przechwyceniu poufnych danych, ale po prostu o kradzieży. Wystarczy odpowiednio przygotowany fragment strony WWW, który przeniesie internautę na stronę doładowywania SkypeOut. Tam ofiara wpisze kod otrzymany SMS-em, który... trafi do złodzieja.

O usterce poinformowaliśmy obsługę techniczną portalu Onet. Szczegółowy opis błędów podamy, gdy usterka zostanie usunięta.

Aktualizacja: 06 lutego 2007 09:32

W ciągu kilku godzin usterka w formularzu doładowania konta na stronie skype.onet.pl została usunięta. Błąd znajdował się na stronie http://skype.onet.pl/skypeout.html, pozwalał na wklejenie np. kodu w języku JavaScript przez podanie specjalnie spreparowanego ciągu znaków w polu Podaj kod. Włamywacz mógł przygotować specjalną stronę z odnośnikiem kierującym do tak zmodyfikowanego formularza, aby np. przechwycić kody wpisywane przez internautów. Usterka została naprawiona, z doładowywania usługi SkypeOut przez skype.onet.pl można korzystać bezpiecznie.


Zobacz również