"Gefällt mir"-Übersicht1Gefällt mir
  • 1 Beitrag von Fortinbras
  1. #1
    Avatar von Fortinbras
    Mitglied seit
    22.08.2006
    Alter
    36
    Beiträge
    21.951
    Blog-Einträge
    22

    Standard Jemand loggte sich in meinen zwei stufig gesicherten Microsoft Account durch eine Skype Hintertür

    Um eine lange Story kurz zu machen: Durch eine Sicherheitslücke im Microsoft Kontosystem ist es möglich sich in ein Microsoft Konto einzuloggen und dabei Zwei-Stufen-Authentifizierung zu umgehen.

    Sofern man sein Microsoft Konto in Vergangenheit mit einem Skype Konto verknüpft, aber nicht zusammengefügt hat, ist man verwundbar. So kann man sich in sein Microsoft Konto mit der alten Skype Nutzernamen und Password-Kombination einloggen. Passiert das, wird die zwei stufige Authentifizierung nicht ausgelöst.

    Derzeit werden so viele Skype Konten gekapert und zum Versenden von Spamnachrichten missbraucht.

    Ich selbst habe von dem nichts mitbekommen, so muss man bei Skype nicht online sein oder einen Client öffnen damit dies passiert. Microsoft informierte mich vergangenen Freitag per SMS darüber dass mein Microsoft Konto möglicherweise von jemand anderem genutzt wird. Als ich mir den Aktivitätslog ansah, musste ich feststellen dass sich jemand 25 Stunden zuvor (!) erfolgreich in China in mein Konto eingeloggt hatte. Dabei wurden - man kann das im Log sehen - nicht meine Microsoft Zugangsdaten verwendet, sondern die von Skype.

    Ich bin geradezu paranoid was Onlinesicherheit angeht. Ich verwende einzigartige Email/ID und Passwortkombinationen, bei den für Hacker interessantesten Onlinediensten nutze ich pro Account sogar eigenständige Email-Adressen oder Variationen (wie email+zusatz (at) gmail.com). Bei jedem Onlineservice der dies anbietet habe ich zudem 2FA aktiviert. Ist halt nur blöd wenn diese sich so easy aushebeln lässt wie im Fall von Microsoft.

    Man kann ganz einfach selbst testen ob man verwundbar ist oder nicht.

    Hat man in Vergangenheit Skype genutzt und möglicherweise seinen Account mit dem eigenen Microsoft Account verknüpft, aber nicht zusammengefügt, dann kann man sich unter https://account.microsoft.com mit seinem Skypenamen und dem Skypepasswort einloggen.

    Um die Sicherheitslücke zu schließen ist es nötig den Skypenamen als möglichen Login Alias in den Anmeldeeinstellungen zu deaktivieren.
    https://account.live.com/SignInPrefe...names%2FManage

    Hat man in Vergangenheit keine Konten verlinkt oder ein Skype Konto mit seinem Microsoft Konto eröffnet (also nach der Skype Übernahme durch Microsoft) dann ist man sicher.

    Viele hilfreiche Links gibt es in meinem Neogaf Thread zum Thema:
    Someone logged into my 2FA secured Microsoft account through a Skype backdoor - NeoGAF

    Dieses Problem ist seit mindestens August bekannt wie man in den Skypeforen sehen kann. Microsoft hat diese Sicherheitslücke bislang nicht anerkannt und stattdessen lediglich Statements mit den üblichen Phrasen bezüglich Passwortsicherheit veröffentlicht.
    Geändert von Fortinbras (23.11.2016 um 11:35 Uhr)
    grinch66 gefällt dieser Beitrag.
    Tretet dem Games Aktuell Club auf Xbox Live bei!

  2. #2
    Avatar von grinch66
    Mitglied seit
    14.10.2010
    Ort
    Wiesbaden
    Beiträge
    12.662

    Standard

    danke für die Info. Muss ich gleich mal checken.
    MS sollte das doch bitte mal anerkennen und fixen, meine Fresse "IT Konzern"
    „Die Bürger werden eines Tages nicht nur die Worte und Taten der Politiker zu bereuen haben, sondern auch das furchtbare Schweigen der Mehrheit“
    Bertolt Brecht
    *von Hoernchen1234 geklaut


  3. #3

    Mitglied seit
    04.09.2005
    Beiträge
    1.285

    Standard

    Ich hatte das letzten Freitag auch.

    Ich hab das PW von meinem Skype-Account und MS-Account geändert. Dann hab ich auch noch deaktiviert, dass man sich mit meinem Skype-Account einloggen kann.

    Den Skype-Account-Namen hatte ich schon lange verdrängt, da ich mich nur mit dem MS-Account einloggte.

    So ist das, wenn ein System übernommen wird und weiterhin beide Anmeldemöglichkeiten unterstützt werden

  4. #4
    Themenstarter
    Avatar von Fortinbras
    Mitglied seit
    22.08.2006
    Alter
    36
    Beiträge
    21.951
    Blog-Einträge
    22

    Standard

    Zitat Zitat von kaepteniglo Beitrag anzeigen
    Ich hatte das letzten Freitag auch.

    Ich hab das PW von meinem Skype-Account und MS-Account geändert. Dann hab ich auch noch deaktiviert, dass man sich mit meinem Skype-Account einloggen kann.

    Den Skype-Account-Namen hatte ich schon lange verdrängt, da ich mich nur mit dem MS-Account einloggte.

    So ist das, wenn ein System übernommen wird und weiterhin beide Anmeldemöglichkeiten unterstützt werden
    Internet high five!

    Also am gleichen Tag wie ich.
    Tretet dem Games Aktuell Club auf Xbox Live bei!

  5. #5

    Mitglied seit
    04.09.2005
    Beiträge
    1.285

    Standard

    Und wenn nicht irgendjemand auf die Skype-Nachricht geantwortet hätte, hätte ich das auch erst durch die SMS mitbekommen.

    Ich musste dann erstmal allen, denen der Link (baidu.com) gesendet wurde, hinterherschreiben, dass sie den Link nicht anklicken sollen.

  6. #6
    Moderator
    Avatar von StHubi
    Mitglied seit
    30.08.2006
    Ort
    G.
    Alter
    39
    Beiträge
    11.742
    Blog-Einträge
    49

    Standard

    Zitat Zitat von kaepteniglo Beitrag anzeigen
    Und wenn nicht irgendjemand auf die Skype-Nachricht geantwortet hätte, hätte ich das auch erst durch die SMS mitbekommen.

    Ich musste dann erstmal allen, denen der Link (baidu.com) gesendet wurde, hinterherschreiben, dass sie den Link nicht anklicken sollen.

    Man kann Skype Nachrichten auch löschen, wenn es noch nicht zu spät ist. Oder hast du das vor der Warnung gemacht?

  7. #7

    Mitglied seit
    04.09.2005
    Beiträge
    1.285

    Standard

    Die Skype-Nachrichten kann man nur löschen, wenn man sie auch wirklich selber von seinem Client aus versendet hat.

    Hab das schon vorher ausprobiert.

  8. #8
    Avatar von Gamemaster1883
    Mitglied seit
    14.03.2008
    Ort
    Aus der Steiermark
    Alter
    30
    Beiträge
    3.586
    Blog-Einträge
    22

    Standard

    Bei mir wollten sich vor ein paar Tagen welche in mein Steam Konto hacken.Hab eine E-Mail gekriegt mit dem 4 stelligen Code zum bestätigen obwohl ich nix gemacht habe.Als ich dann dort draufgegangen bin stand auf der Steam Seite bei letzter Anmeldeversuch eine fremde IP Adresse mit Standort in China.Zum Glück ist es nicht gelungen weil sie ja den 4 stelligen Code nicht hatten zum bestätigen.

  9. #9
    Moderator
    Avatar von StHubi
    Mitglied seit
    30.08.2006
    Ort
    G.
    Alter
    39
    Beiträge
    11.742
    Blog-Einträge
    49

    Standard

    Zitat Zitat von kaepteniglo Beitrag anzeigen
    Die Skype-Nachrichten kann man nur löschen, wenn man sie auch wirklich selber von seinem Client aus versendet hat.

    Hab das schon vorher ausprobiert.
    Ah, okay. Bei mir ist so was bisher (zum Glück) noch nicht passiert. Daher habe ich das noch nie ausprobieren müssen...

  10. #10
    Themenstarter
    Avatar von Fortinbras
    Mitglied seit
    22.08.2006
    Alter
    36
    Beiträge
    21.951
    Blog-Einträge
    22

    Standard

    Zitat Zitat von kaepteniglo Beitrag anzeigen
    Und wenn nicht irgendjemand auf die Skype-Nachricht geantwortet hätte, hätte ich das auch erst durch die SMS mitbekommen.

    Ich musste dann erstmal allen, denen der Link (baidu.com) gesendet wurde, hinterher schreiben, dass sie den Link nicht anklicken sollen.
    Du kannst Skype Nachrichten im Web Client löschen. Unter skype.com. Rechtsklick und dann löschen. Im Client auf'm Desktop geht das nicht. Ich habe nachdem ich meinen Account gesichert habe dort alle Nachrichten gelöscht.

    Drüben im Gaf waren ja einige ziemlich geschockt dass sie auch betroffen waren. Wie Microsoft die Sache tot schweigt finde ich persönlich unter aller Sau. Da werden teilweise ganze Accounts synchronisiert.
    Tretet dem Games Aktuell Club auf Xbox Live bei!

Ähnliche Themen

  1. Antworten: 3
    Letzter Beitrag: 24.04.2013, 00:15
  2. Jemand nicht XP?
    Von Pallando im Forum Hard- und Software (PC)
    Antworten: 29
    Letzter Beitrag: 14.10.2006, 19:31
  3. Geht von euch noch jemand in den Urlaub?
    Von xxacczxx im Forum Blaulichtmilieu
    Antworten: 51
    Letzter Beitrag: 11.09.2006, 15:16
  4. Zwei neue Verpackungen
    Von Travis Bickle im Forum DVD, HD & Blu-ray
    Antworten: 21
    Letzter Beitrag: 08.09.2006, 19:50

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •