微软Skype软件曝出新安全漏洞，可令他人任意修改你的密码，随后盗用你的账户。实际上早在2个月前，这一问题就已经首度在一家俄罗斯论坛上有人提过，现在已经得到了国外媒体The Next Web的证实确有其事。最新消息显示，Skype已经暂时停用了密码重置页面，这一漏洞问题临时得到了控制。国外媒体TheNextWeb今天已经知会Skype官方此漏洞问题，期望可及早解决。Skype方面则表示目前正在进行关于此问题的内部调查。在此之前如果用户希望账户安全，那么目前可以做的是更换绑定Skype账户的Email地址，更换后的Email地址越复杂越好。当然你也可以等待微软修复此问题。官方暂时禁用密码重置功能的做法也临时抑制了该安全问题的蔓延。



外媒尝试按照一定步骤来“恶意盗用”内部人员的Skype账户。仅需知悉该用户的登录Email账户，这里省略N多关键步骤后，发现可以通过密码重置的方式获得目标账户的访问权限，还能将此账户修改为属于自己的用户名。

完成所有步骤之后即可登陆目标账户，在账户上用户名的显示比较诡异，既有通过步骤恶意注册时的用户名，也有原本此目标账户归属的用户名称，随后亦可随意在账户内自行修改密码。将原本此账户的用户主人排除于外，真是令人心寒的漏洞啊。测试中，如果不把修改后的密码告知原账户主人，他基本也是无能为力的（或许也可以通过相同的方法再度重置一次密码，把自己的账户抢回来？）。



其中的原理其实非常简单。当你使用一个已经注册过Skype的邮箱地址再次注册新Skype账户时，Skype会向此邮箱发出一封关于你的用户名信息的提示邮件，这当然没什么问题，因为email邮箱是私人的，其他人无法查看该邮件。不过，此后服务会向Skype应用本身返回一个密码重置链接，这样恶意人士就能轻易进行密码修改，获得此账户。



这个安全问题实际上是比较严重的，任何人都可以在知道你的Skype账户邮箱地址的情况下为此账户创建新用户名。所以目前可以进行的紧急措施即是立刻变更Skype账户的绑定邮箱，可在Skype.com官方网站上进行。设置的方法很简单，点击右上角登陆按钮，在“账户信息”中修改用户资料（Profile），下拉至“联系信息”，点击“增加邮箱地址”，添加完成后拉至页面底部，点击“保存”。最后，再于页面底部点击“编辑”按钮，页面上拉将刚才添加的email邮箱地址选择“设为主邮箱地址”。

Skype方面则向国外媒体The Next Web发布了以下声明内容：

“我们接到了一则新安全漏洞的报告。鉴于此漏洞的存在，我们首先临时停用了密码重置功能，随后我们将进行进一步的调查。在此为各位用户带来的不便表示抱歉，但用户体验和安全向来是我们的工作重点，这次确实我们工作的失职。”