Как Skype решает вопросы с безопасностью

Оставить комментарий
Как Skype решает вопросы с безопасностью

Пользователь Skype с 10-летним опытом и бывший энтузиаст платформы Павел Жовнер рассказал в своём блоге о том, как стал противником платформы после долгого опыта работы с ней.

Читать далее

Иллюстрация: hub.zhovner.com

Павел Жовнер использовал Skype 10 лет и был его фанатом. Пока в Skype функционировала система публичного сообщения о багах jura.skype.com, он активно писал о проблемах в работе программы. И ещё тогда был обеспокоен подходом компании к исправлению ошибок: зачастую приходилось буквально упрашивать разработчиков исправить серьёзную проблему.

Сегодня разработчик стал противником Skype и считает его опасным для пользователей из-за несовершенства и неэффективности используемых процедур безопасности. Вот две наиболее явные проблемы.

Блокировка через массовые «репорты»

Учётная запись в Skype блокируется, если достаточное количество (более 20) пользователей мессенджера сообщили в службу поддержки о «проблемности» аккаунта. При этом для сообщения не нужно даже иметь соответствующего пользователя в друзьях, это делается из поиска путём нажатия Block и выбора опции «report an abuse».

Этой технике уже много лет, и всё это время проблема остаётся на виду, но никто её не решает. Блокировка аккаунтов стала средством борьбы между разными группами молодых людей, некоторые даже развлекаются тем, что отправляют в вечный бан случайно выбранные профили пользователей Skype.

Жертва атаки получает автоматическое сообщение от службы поддержки Skype и вернуться к пользованию мессенджером может только при помощи новой учётной записи.

Блокировка через техническую поддержку

Иллюстрация: hub.zhovner.com

Осенью 2015 года появился новый вид атаки: за некоторое время перед блокировкой жертва получала несколько писем от Microsoft с 8-значным числовым кодом. Все письма приходили с ящика [email protected] и имели DKIM подпись, т.е. действительно были отправлены Microsoft.

После небольшого исследования Жовнер выяснил, что запрос о блокировке отправлялся через службу поддержки на домене sales.liveperson.net, при этом злоумышленник просил удалить требуемый аккаунт Skype, называя его своим, по причине перехода на другую учётную запись.

Иллюстрация: hub.zhovner.com

При этом код, полученный настоящим владельцем аккаунта, каким-то образом угадывался — иногда всего лишь со второй или третьей попытки.

Многочисленные попытки связаться с Microsoft, чтобы обозначить проблему, не привели ни к чему. Обещанное «внутреннее расследование» продолжалось без видимых результатов.

В конце концов Жовнер решил поставить эксперимент на себе и заказал удаление своего личного основного аккаунта. Эксперимент удался, и даже несмотря на наличие у разработчика доказательств неправомерной блокировки, восстановить справедливость не удалось. В опубликованной переписке с поддержкой Skype можно увидеть, насколько непреклонны работники «по ту сторону экрана».

Подписывайтесь на «Что к чему» —
анамнез и главные симптомы беларуского ИТ.
Цифры, графика, ничего лишнего. Выходит раз в 2 недели.
Спасибо! На указанный адрес отправлено письмо для подтверждения подписки.
Читайте также
12 VPN-сервисов, которые помогут обходить блокировки
12 VPN-сервисов, которые помогут обходить блокировки
12 VPN-сервисов, которые помогут обходить блокировки
Сделали обзор VPN-сервисов, которые лидируют в рейтингах, и сделают вашу работу в интернете быстрой и безопасной.
Акция от NordVPN: Скидка 68% + 3 месяца бесплатно
Акция от NordVPN: Скидка 68% + 3 месяца бесплатно
Акция от NordVPN: Скидка 68% + 3 месяца бесплатно
Только сегодня при покупке NordVPN c тарифным планом на 2 года или год вы экономите до 68% и получаете возможность блокировать вредоносные ПО, трекеры, защищать вашу личную информацию от различных веб-сайтов. 
7 комментариев
Sony не может договориться с Microsoft о продлении выпуска Call of Duty на PlayStation
Sony не может договориться с Microsoft о продлении выпуска Call of Duty на PlayStation
Sony не может договориться с Microsoft о продлении выпуска Call of Duty на PlayStation
Microsoft запустила обучающий сайт по Java
Microsoft запустила обучающий сайт по Java
Microsoft запустила обучающий сайт по Java

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.