In Microsofts Skype-Forum beschweren sich seit August hunderte Nutzer des Video-Konferenz-Systems, dass sie massenhaft Spam-Nachrichten erhalten. Auch ein Mitglied der t3n-Redaktion hat von zahlreichen Skype-Kontakten Spam-Nachrichten bekommen.

Es handelt sich bei den Nachrichten ausnahmslos um Link-Umleitungen, die auf dem chinesischen Online-Riesen Baidu gehostet werden. Sie führen beispielsweise auf unseriöse Online-Angebote angeblicher Wunderpillen, die die Gehirnkapazität steigern sollen. Die Websites arbeiten dabei mit den Logos bekannter Medienmarken wie Forbes und CNN.

Hintergrund ist laut Microsoft kein direkter Hack von Skype, berichtet The Verge. Vielmehr probierten Kriminelle massenhaft E-Mail-Account und Passwort-Kombinationen aus, die den Angreifern aus den Hacks anderer Dienste in den vergangenen Monaten in die Hände gefallen sind. Accounts von Nutzern, die dieselbe Kombination von E-Mail-Adresse und Passwort auch bei Skype verwendeten, würden so von den Kriminellen übernommen und zum Senden der Spam-Nachrichten missbraucht.

In jüngster Zeit gab es eine Reihe von Hacks großer Dienste – darunter Passwortmanagers vermeiden lässt.

Doch auch Microsoft ist laut dem Bericht von The Verge nicht ganz unschuldig an der Spam-Welle bei Skype: Microsoft ermöglicht es den Nutzern, den Skype- und Microsoft-Account zusammenzulegen. Was sie dabei aber nicht wissen: Das Skype-Passwort funktioniert danach weiterhin in Kombination mit dem Skype-Nutzernamen. Sollte es sich um ein unsicheres Passwort handeln oder um eins, das auch bei anderen Diensten verwendet wurde, besteht ein mögliches Einfallstor, von dem viele Nutzer gar nichts ahnen.

Das ist besonders fatal, weil so offenbar auch Microsofts Zwei-Faktor-Authentifizierung umgangen werden kann. The Verge berichtet von einem anonymen Microsoft-Mitarbeiter, der die von Microsoft angebotene Zwei-Faktor-Authentifizierung aktiviert hatte – und dessen Account dennoch mit der Kombination aus Skype-Nutzername und Passwort übernommen wurde. „Ich habe das mit meinem eigenen Account ausprobiert und war in der Lage, mich in meinen Skype-Account mit einem alten Passwort einzuloggen, obwohl ich ihn vor Monaten mit meinem Microsoft-Account verknüpft hatte“, schreibt der Verge-Autor. „Ich dachte, ich sei durch Microsofts Zwei-Faktor-Authentifizierung geschützt – war ich aber nicht.“

Microsoft kennt das Problem und hat einen Fix veröffentlicht. Es ist aber unklar, ob dieser auch bei Nutzern greift, die ihren Skype- und Microsoft-Account bereits zusammengelegt haben. Alle, die sicherstellen wollen, dass ihr altes Skype-Passwort nicht mehr funktioniert, sollten https://account.microsoft.com aufrufen und dort den Skype-Namen eingeben – nicht die mit dem Microsoft-Konto verknüpfte E-Mail-Adresse. Ist das noch möglich, sollten die Konten verknüpft werden. Danach funktioniert das alte Skype-Passwort nicht mehr, sondern nur das Passwort des Microsoft-Accounts.

In den Anmeldeeinstellungen kann dann festgelegt werden, ob der Skype-Name weiterhin als Login-Name neben der E-Mail-Adresse verwendet werden kann.  Das alte Skype-Passwort sollte jetzt jedenfalls nicht mehr funktionieren.

Ebenfalls interessant: 

• Von Tumblr bis LinkedIn: Kriminelle verkaufen 617 Millionen Passwörter
• Skype Meetings – Das kann Microsofts Hangouts-Alternative

via www.theverge.com