Jemand loggte sich in meinen zwei stufig gesicherten Microsoft Account durch eine Skype Hintertür

Fortinbras

Bekanntes Gesicht
Mitglied seit
22.08.2006
Beiträge
21.498
Reaktionspunkte
3.361
Um eine lange Story kurz zu machen: Durch eine Sicherheitslücke im Microsoft Kontosystem ist es möglich sich in ein Microsoft Konto einzuloggen und dabei Zwei-Stufen-Authentifizierung zu umgehen.

Sofern man sein Microsoft Konto in Vergangenheit mit einem Skype Konto verknüpft, aber nicht zusammengefügt hat, ist man verwundbar. So kann man sich in sein Microsoft Konto mit der alten Skype Nutzernamen und Password-Kombination einloggen. Passiert das, wird die zwei stufige Authentifizierung nicht ausgelöst.

Derzeit werden so viele Skype Konten gekapert und zum Versenden von Spamnachrichten missbraucht.

Ich selbst habe von dem nichts mitbekommen, so muss man bei Skype nicht online sein oder einen Client öffnen damit dies passiert. Microsoft informierte mich vergangenen Freitag per SMS darüber dass mein Microsoft Konto möglicherweise von jemand anderem genutzt wird. Als ich mir den Aktivitätslog ansah, musste ich feststellen dass sich jemand 25 Stunden zuvor (!) erfolgreich in China in mein Konto eingeloggt hatte. Dabei wurden - man kann das im Log sehen - nicht meine Microsoft Zugangsdaten verwendet, sondern die von Skype.

Ich bin geradezu paranoid was Onlinesicherheit angeht. Ich verwende einzigartige Email/ID und Passwortkombinationen, bei den für Hacker interessantesten Onlinediensten nutze ich pro Account sogar eigenständige Email-Adressen oder Variationen (wie email+zusatz (at) gmail.com). Bei jedem Onlineservice der dies anbietet habe ich zudem 2FA aktiviert. Ist halt nur blöd wenn diese sich so easy aushebeln lässt wie im Fall von Microsoft.

Man kann ganz einfach selbst testen ob man verwundbar ist oder nicht.

Hat man in Vergangenheit Skype genutzt und möglicherweise seinen Account mit dem eigenen Microsoft Account verknüpft, aber nicht zusammengefügt, dann kann man sich unter https://account.microsoft.com mit seinem Skypenamen und dem Skypepasswort einloggen.

Um die Sicherheitslücke zu schließen ist es nötig den Skypenamen als möglichen Login Alias in den Anmeldeeinstellungen zu deaktivieren.
https://account.live.com/SignInPreferences?amru=names/Manage

Hat man in Vergangenheit keine Konten verlinkt oder ein Skype Konto mit seinem Microsoft Konto eröffnet (also nach der Skype Übernahme durch Microsoft) dann ist man sicher.

Viele hilfreiche Links gibt es in meinem Neogaf Thread zum Thema:
Someone logged into my 2FA secured Microsoft account through a Skype backdoor - NeoGAF

Dieses Problem ist seit mindestens August bekannt wie man in den Skypeforen sehen kann. Microsoft hat diese Sicherheitslücke bislang nicht anerkannt und stattdessen lediglich Statements mit den üblichen Phrasen bezüglich Passwortsicherheit veröffentlicht.
 
Zuletzt bearbeitet:

grinch66

Bekanntes Gesicht
Mitglied seit
14.10.2010
Beiträge
13.419
Reaktionspunkte
5.412
danke für die Info. Muss ich gleich mal checken.
MS sollte das doch bitte mal anerkennen und fixen, meine Fresse "IT Konzern"
 

kaepteniglo

Bekanntes Gesicht
Mitglied seit
04.09.2005
Beiträge
1.286
Reaktionspunkte
403
Ich hatte das letzten Freitag auch.

Ich hab das PW von meinem Skype-Account und MS-Account geändert. Dann hab ich auch noch deaktiviert, dass man sich mit meinem Skype-Account einloggen kann.

Den Skype-Account-Namen hatte ich schon lange verdrängt, da ich mich nur mit dem MS-Account einloggte.

So ist das, wenn ein System übernommen wird und weiterhin beide Anmeldemöglichkeiten unterstützt werden :(
 
TE
TE
Fortinbras

Fortinbras

Bekanntes Gesicht
Mitglied seit
22.08.2006
Beiträge
21.498
Reaktionspunkte
3.361
Ich hatte das letzten Freitag auch.

Ich hab das PW von meinem Skype-Account und MS-Account geändert. Dann hab ich auch noch deaktiviert, dass man sich mit meinem Skype-Account einloggen kann.

Den Skype-Account-Namen hatte ich schon lange verdrängt, da ich mich nur mit dem MS-Account einloggte.

So ist das, wenn ein System übernommen wird und weiterhin beide Anmeldemöglichkeiten unterstützt werden :(

Internet high five!

Also am gleichen Tag wie ich.
 

kaepteniglo

Bekanntes Gesicht
Mitglied seit
04.09.2005
Beiträge
1.286
Reaktionspunkte
403
Und wenn nicht irgendjemand auf die Skype-Nachricht geantwortet hätte, hätte ich das auch erst durch die SMS mitbekommen.

Ich musste dann erstmal allen, denen der Link (baidu.com) gesendet wurde, hinterherschreiben, dass sie den Link nicht anklicken sollen.
 
S

StHubi

Gast
Und wenn nicht irgendjemand auf die Skype-Nachricht geantwortet hätte, hätte ich das auch erst durch die SMS mitbekommen.

Ich musste dann erstmal allen, denen der Link (baidu.com) gesendet wurde, hinterherschreiben, dass sie den Link nicht anklicken sollen.


Man kann Skype Nachrichten auch löschen, wenn es noch nicht zu spät ist. Oder hast du das vor der Warnung gemacht?
 

kaepteniglo

Bekanntes Gesicht
Mitglied seit
04.09.2005
Beiträge
1.286
Reaktionspunkte
403
Die Skype-Nachrichten kann man nur löschen, wenn man sie auch wirklich selber von seinem Client aus versendet hat.

Hab das schon vorher ausprobiert.
 

Gamemaster1883

Bekanntes Gesicht
Mitglied seit
14.03.2008
Beiträge
3.971
Reaktionspunkte
453
Website
www.gamesaktuell.de
Bei mir wollten sich vor ein paar Tagen welche in mein Steam Konto hacken.Hab eine E-Mail gekriegt mit dem 4 stelligen Code zum bestätigen obwohl ich nix gemacht habe.Als ich dann dort draufgegangen bin stand auf der Steam Seite bei letzter Anmeldeversuch eine fremde IP Adresse mit Standort in China.Zum Glück ist es nicht gelungen weil sie ja den 4 stelligen Code nicht hatten zum bestätigen.
 
TE
TE
Fortinbras

Fortinbras

Bekanntes Gesicht
Mitglied seit
22.08.2006
Beiträge
21.498
Reaktionspunkte
3.361
Und wenn nicht irgendjemand auf die Skype-Nachricht geantwortet hätte, hätte ich das auch erst durch die SMS mitbekommen.

Ich musste dann erstmal allen, denen der Link (baidu.com) gesendet wurde, hinterher schreiben, dass sie den Link nicht anklicken sollen.

Du kannst Skype Nachrichten im Web Client löschen. Unter skype.com. Rechtsklick und dann löschen. Im Client auf'm Desktop geht das nicht. Ich habe nachdem ich meinen Account gesichert habe dort alle Nachrichten gelöscht.

Drüben im Gaf waren ja einige ziemlich geschockt dass sie auch betroffen waren. Wie Microsoft die Sache tot schweigt finde ich persönlich unter aller Sau. Da werden teilweise ganze Accounts synchronisiert.
 
Oben Unten