Fortinbras
Bekanntes Gesicht
- Mitglied seit
- 22.08.2006
- Beiträge
- 21.498
- Reaktionspunkte
- 3.362
Um eine lange Story kurz zu machen: Durch eine Sicherheitslücke im Microsoft Kontosystem ist es möglich sich in ein Microsoft Konto einzuloggen und dabei Zwei-Stufen-Authentifizierung zu umgehen.
Sofern man sein Microsoft Konto in Vergangenheit mit einem Skype Konto verknüpft, aber nicht zusammengefügt hat, ist man verwundbar. So kann man sich in sein Microsoft Konto mit der alten Skype Nutzernamen und Password-Kombination einloggen. Passiert das, wird die zwei stufige Authentifizierung nicht ausgelöst.
Derzeit werden so viele Skype Konten gekapert und zum Versenden von Spamnachrichten missbraucht.
Ich selbst habe von dem nichts mitbekommen, so muss man bei Skype nicht online sein oder einen Client öffnen damit dies passiert. Microsoft informierte mich vergangenen Freitag per SMS darüber dass mein Microsoft Konto möglicherweise von jemand anderem genutzt wird. Als ich mir den Aktivitätslog ansah, musste ich feststellen dass sich jemand 25 Stunden zuvor (!) erfolgreich in China in mein Konto eingeloggt hatte. Dabei wurden - man kann das im Log sehen - nicht meine Microsoft Zugangsdaten verwendet, sondern die von Skype.
Ich bin geradezu paranoid was Onlinesicherheit angeht. Ich verwende einzigartige Email/ID und Passwortkombinationen, bei den für Hacker interessantesten Onlinediensten nutze ich pro Account sogar eigenständige Email-Adressen oder Variationen (wie email+zusatz (at) gmail.com). Bei jedem Onlineservice der dies anbietet habe ich zudem 2FA aktiviert. Ist halt nur blöd wenn diese sich so easy aushebeln lässt wie im Fall von Microsoft.
Man kann ganz einfach selbst testen ob man verwundbar ist oder nicht.
Hat man in Vergangenheit Skype genutzt und möglicherweise seinen Account mit dem eigenen Microsoft Account verknüpft, aber nicht zusammengefügt, dann kann man sich unter https://account.microsoft.com mit seinem Skypenamen und dem Skypepasswort einloggen.
Um die Sicherheitslücke zu schließen ist es nötig den Skypenamen als möglichen Login Alias in den Anmeldeeinstellungen zu deaktivieren.
https://account.live.com/SignInPreferences?amru=names/Manage
Hat man in Vergangenheit keine Konten verlinkt oder ein Skype Konto mit seinem Microsoft Konto eröffnet (also nach der Skype Übernahme durch Microsoft) dann ist man sicher.
Viele hilfreiche Links gibt es in meinem Neogaf Thread zum Thema:
Someone logged into my 2FA secured Microsoft account through a Skype backdoor - NeoGAF
Dieses Problem ist seit mindestens August bekannt wie man in den Skypeforen sehen kann. Microsoft hat diese Sicherheitslücke bislang nicht anerkannt und stattdessen lediglich Statements mit den üblichen Phrasen bezüglich Passwortsicherheit veröffentlicht.
Sofern man sein Microsoft Konto in Vergangenheit mit einem Skype Konto verknüpft, aber nicht zusammengefügt hat, ist man verwundbar. So kann man sich in sein Microsoft Konto mit der alten Skype Nutzernamen und Password-Kombination einloggen. Passiert das, wird die zwei stufige Authentifizierung nicht ausgelöst.
Derzeit werden so viele Skype Konten gekapert und zum Versenden von Spamnachrichten missbraucht.
Ich selbst habe von dem nichts mitbekommen, so muss man bei Skype nicht online sein oder einen Client öffnen damit dies passiert. Microsoft informierte mich vergangenen Freitag per SMS darüber dass mein Microsoft Konto möglicherweise von jemand anderem genutzt wird. Als ich mir den Aktivitätslog ansah, musste ich feststellen dass sich jemand 25 Stunden zuvor (!) erfolgreich in China in mein Konto eingeloggt hatte. Dabei wurden - man kann das im Log sehen - nicht meine Microsoft Zugangsdaten verwendet, sondern die von Skype.
Ich bin geradezu paranoid was Onlinesicherheit angeht. Ich verwende einzigartige Email/ID und Passwortkombinationen, bei den für Hacker interessantesten Onlinediensten nutze ich pro Account sogar eigenständige Email-Adressen oder Variationen (wie email+zusatz (at) gmail.com). Bei jedem Onlineservice der dies anbietet habe ich zudem 2FA aktiviert. Ist halt nur blöd wenn diese sich so easy aushebeln lässt wie im Fall von Microsoft.
Man kann ganz einfach selbst testen ob man verwundbar ist oder nicht.
Hat man in Vergangenheit Skype genutzt und möglicherweise seinen Account mit dem eigenen Microsoft Account verknüpft, aber nicht zusammengefügt, dann kann man sich unter https://account.microsoft.com mit seinem Skypenamen und dem Skypepasswort einloggen.
Um die Sicherheitslücke zu schließen ist es nötig den Skypenamen als möglichen Login Alias in den Anmeldeeinstellungen zu deaktivieren.
https://account.live.com/SignInPreferences?amru=names/Manage
Hat man in Vergangenheit keine Konten verlinkt oder ein Skype Konto mit seinem Microsoft Konto eröffnet (also nach der Skype Übernahme durch Microsoft) dann ist man sicher.
Viele hilfreiche Links gibt es in meinem Neogaf Thread zum Thema:
Someone logged into my 2FA secured Microsoft account through a Skype backdoor - NeoGAF
Dieses Problem ist seit mindestens August bekannt wie man in den Skypeforen sehen kann. Microsoft hat diese Sicherheitslücke bislang nicht anerkannt und stattdessen lediglich Statements mit den üblichen Phrasen bezüglich Passwortsicherheit veröffentlicht.
Zuletzt bearbeitet:
