Пользователь Skype с 10-летним опытом и бывший энтузиаст платформы Павел Жовнер рассказал в своём блоге о том, как стал противником платформы после долгого опыта работы с ней.
Павел Жовнер использовал Skype 10 лет и был его фанатом. Пока в Skype функционировала система публичного сообщения о багах jura.skype.com, он активно писал о проблемах в работе программы. И ещё тогда был обеспокоен подходом компании к исправлению ошибок: зачастую приходилось буквально упрашивать разработчиков исправить серьёзную проблему.
Сегодня разработчик стал противником Skype и считает его опасным для пользователей из-за несовершенства и неэффективности используемых процедур безопасности. Вот две наиболее явные проблемы.
Блокировка через массовые «репорты»
Учётная запись в Skype блокируется, если достаточное количество (более 20) пользователей мессенджера сообщили в службу поддержки о «проблемности» аккаунта. При этом для сообщения не нужно даже иметь соответствующего пользователя в друзьях, это делается из поиска путём нажатия Block и выбора опции «report an abuse».
Этой технике уже много лет, и всё это время проблема остаётся на виду, но никто её не решает. Блокировка аккаунтов стала средством борьбы между разными группами молодых людей, некоторые даже развлекаются тем, что отправляют в вечный бан случайно выбранные профили пользователей Skype.
Жертва атаки получает автоматическое сообщение от службы поддержки Skype и вернуться к пользованию мессенджером может только при помощи новой учётной записи.
Блокировка через техническую поддержку
Осенью 2015 года появился новый вид атаки: за некоторое время перед блокировкой жертва получала несколько писем от Microsoft с 8-значным числовым кодом. Все письма приходили с ящика [email protected] и имели DKIM подпись, т.е. действительно были отправлены Microsoft.
После небольшого исследования Жовнер выяснил, что запрос о блокировке отправлялся через службу поддержки на домене sales.liveperson.net, при этом злоумышленник просил удалить требуемый аккаунт Skype, называя его своим, по причине перехода на другую учётную запись.
При этом код, полученный настоящим владельцем аккаунта, каким-то образом угадывался — иногда всего лишь со второй или третьей попытки.
Многочисленные попытки связаться с Microsoft, чтобы обозначить проблему, не привели ни к чему. Обещанное «внутреннее расследование» продолжалось без видимых результатов.
В конце концов Жовнер решил поставить эксперимент на себе и заказал удаление своего личного основного аккаунта. Эксперимент удался, и даже несмотря на наличие у разработчика доказательств неправомерной блокировки, восстановить справедливость не удалось. В опубликованной переписке с поддержкой Skype можно увидеть, насколько непреклонны работники «по ту сторону экрана».
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.