?

Log in

странным образом подломили скайп... - Все не как у людей [entries|archive|friends|userinfo]
ex0_planet

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

странным образом подломили скайп... [Jun. 7th, 2017|02:59 pm]
ex0_planet
... собственно, даже не подломили, а просто вошли с правильным паролем и сразу начали щемиться по всем контактам с требованием дать денег. Ничего не меняли, не ресетили; я, узнав о событии, просто зашел со своим обычным паролем и получил свой аккаунт обратно.


1. Это вероятнее всего не вирус, не троян и не фишинг. Аккаунту лет пятнадцать, из них ~10 он живет на одной машине с линуксом и нигде больше не используется. Не то чтобы я верил в отсутствие малвари на линуксе, но подлом носит черты массового, а из за 0.36% юзеров (или сколько там) вряд ли кто-то будет заморачиваться специальной линуксовой малварью. Никаких подозрительных емейлов, относящихся к скайпу, тоже в последнее время не было. Других взломов за все время не было. Аккаунт, кстати, редкоиспользуемый (в последнее время), если это влияет на что-нибудь.

2. Никаких предупреждений от секьюрити, никакой активности не было. Мне просто позвонил (голосом, в телефон) один из моих контактов и спросил, действительно ли мне нужны деньги.

3. Грубейшее нарушение техники безопасности: пароль на LJ общий с этим аккаунтом скайпа. Грешен, чо, но в тот момент, я просто взял один имеющийся пароль, чтоб лишний раз не запоминать, а потом поленился менять. С другой стороны, между аккаунтами me@LJ и me@skype.com нет никакой общей связи, кроме емейла me@gmail.com. Во всяком случае, публично я эту связь нигде не упоминал. С третьей стороны, @gmail.com ломать не пытались, а он очень чувствителен к левым входам.

4. Подозрительная активность на аккаунте датируется аж маем этого года. Пачка входов с интервалом в час из Вьетнама, US, Люксембурга... и — ничего.


Итоги "инцидента". Майкрософтовская секьюрити — говно. Не чухнуться на на пачку входов из разных мест с интервалом в несколько десятков минут это само по себе выдающееся достижение. Пометить входы из собственной же сети (это уже когда я менял пароль) как "suspicious activity" — это я не знаю, это как гол в собственные ворота. Отлично сработали, чо. При этом ни единого оповещения на контактный емейл, но рекламу присылать при этом не забывают.

Кто как, а лично я все нужные выводы сделал.

This entry was originally posted at http://ex0-planet.dreamwidth.org/65121.html. Please comment there using OpenID.
LinkReply

Comments:
[User Picture]From: mbr
2017-06-07 05:35 pm (UTC)
Во. Ровно тоже самое было пару месяцев назад. Тоже линукс. Пароль не сильно секьюрный - 8 символов с цифрами. Я не заморачивался, ибо кому нафиг скайп нужен. Оказалось нужен. Такое ощущение, есть какая-то дыра в скайпе.

Отказался бы давно от этого говна, да пару клиентов там висит.
(Reply) (Thread)
[User Picture]From: keinkeinkein
2017-06-08 02:06 am (UTC)
А вы ваше имя в Skype где-то публиковали? Может, какой-то робот ищет в Google скайпы россиян, а потом брутфорсит их, эксплуатируя дыру в Skype-авторизации?
(Reply) (Parent) (Thread)
[User Picture]From: mbr
2017-06-08 05:10 am (UTC)
Да вроде нет.

А что за дыра?
(Reply) (Parent) (Thread)
[User Picture]From: keinkeinkein
2017-06-08 05:16 am (UTC)
Пока что я и сам не понял. Скорее всего, бэк-энд Skype не защищен от брутфорса паролей. Пароль от Skype в таком случае имеет смысл делать очень стойким, примерно вот таким:

J]}yj%m`;+D!zO8wpq|)h1Trl,$k>.?Zdb&*A#NPR-e9X5@u(x^{GI6"f4V7KUSi_C'Lnao[~BFM=YWH0E:/gQ2vcts3\

Edited at 2017-06-08 05:19 am (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: mbr
2017-06-08 05:24 am (UTC)
Спасибо, кэп.
(Reply) (Parent) (Thread)
[User Picture]From: poor_sysadm
2017-06-12 05:02 pm (UTC)
почему бы и не заморочиться, 0,36% это тоже немало
не так давно имел неосторожность поднять некий appliance для VoIP, через два дня прописанные там пароли от voip провайдера начали использоваться для звонков по международке.
Как увели - я не смог понять, предполагаю, либо дыра в том приложении, либо в php. (допустим, через некую дыру утягиваются файлы, в которых могут быть интересные пароли)
(Reply) (Thread)