Skype’ta aslında üç ay önce bir Rus forumunda ortaya çıkarılan açık, dün yeniden farklı bir sitede su yüzüne çıktı. Skype, yani yeni sahibi ile Microsoft, bu sürede ilgili açığı kapatmamış. Açık sayesinde bir kullanıcının Skype hesabını ele geçirmek için gereken tek şey onun eposta hesabı. Yeni bir Skype ID yaratıp bunu kurbanın eposta adres ile eşleştiriyorsunuz. Daha sonra şifre yenileme talebinde bulunuyorsunuz. Güvenlik açığı da burada devreye giriyor ve kurbanın hesabı kilitlenip, ona gitmesi gereken postaların size gelmesine sebep oluyor.
Bir başka deyişle, sadece sizin hesabınıza ait olması gereken şifre yenileme işlemi, hesapla ilişkilendirilen ve size ait olmayan eposta adresini ve onun kullanıcısını de kapsıyor. Bu sayede yenileme işleminden sonra kurbanın Skype hesabını kullanmanız için gerekli her şeye sahip oluyorsunuz. Kelimenin tam anlamıyla çocuk oyuncağı. Ben de bu açığı denedim ve doğruluğunu onayladım. Sadece birkaç dakikamı aldı.
Microsoft tedbir oalrak online şifre yenileme sistemini, sorunu çözene kadar, devre dışı bıraktı. Devre dışı kalmadan önce kendinizi korumanın tek yolu, kimsenin bilemeyeceği bir eposta hesabı alıp Skype’ta kullanmaktı ki buna pek de güvenlik tedbiri denemez zira kimsenin bilmediği ve fazla kullanmadığınız bu adresler de saldırıya açık.
Kıssadan hisse, herhangi birine vermekten çekinmediğiniz en ufak bilgi dahi gün gelir size karşı kullanılabilir, gereğinden fazla güvenlik diye bir şey yoktur.