Die Seite Xbox.com könnte offenbar eine Sicherheitslücke haben, wodurch es einfacher wird, Xbox-Profile zu stibitzen. Das zumindest will der Netzwerk-Techniker Jason Coutee selbst herausgefunden haben, nachdem er selbst Opfer wurde.
Über seinen Account wurden nämlich 8.000 Microsoft Points gekauft, die die Gauner schließlich für ein Xbox Live Family Pack ausgeben wollten. Er konnte aber noch rechtzeitig mit Hilfe des Supports eine derartige Transaktion verhindern.
Anschließend wollte der Support als Angebot seinen Account für 30 Tage sperren, Coutee aber schlug vor, selbst Untersuchungen durchzuführen. Also sammelte er während dem Spielen Gamertags und bemühte etwa Twitter sowie Facebook, um die passenden und durch E-Mails verknüpften Windows Live IDs herauszufinden.
Danach brauchte er nur noch den Nutzernamen bei Xbox Live eingeben und wahllos ein Passwort zu versuchen. Sollte dann die Meldung "That Windows Live ID doesn't exist" erscheinen, war klar, dass kein Account mit dieser E-Mail-Adresse verknüpft ist. Bei "The email address or password is incorrect" war hingegen eindeutig, dass das jeweilige Konto existiert.
Hält man eine existierende Live-ID in den Händen, hat man immerhin acht Versuche, bevor das CAPTCHA-System eingreift. Das Sicherheitssystem aber könne mit einem ganz simplen Script einfach umgegangen werden, wodurch das CAPTCHA-System gar nicht erst startet. Und dadurch wiederum können 'Brute Force'-Attacken angesetzt werden.
Das Problem sei laut Medien-Berichten Microsoft bereits bekannt - eine Stellungnahme dazu aber fehle bislang.
Update: Nun meldete sich Microsoft doch noch zu Wort und gab an, dass die Website sicher sei.
Ich finde es ja schon merkwürdig, dass er "das Familienabo verhindern konnte"... HÄ!?
Ich habe zwar kein Familienabo, aber ist das mit so einem Abo nicht wie mit allen seinen "Käufen", dass die sofort aktiviert sind, wenn man auf "Kaufen" drückt?
Da muss man doch bestimmt keine 2 Tage warten und bekommt jedesmal die Meldung "Du hast ein Familienkonto gekauft, aber musst noch 2 Tage warten", oder?
Genauso das "er bekam angeboten dass sein Account gesperrt wird, aber hat das abgelehnt". Das habe ich noch nie gehört. Ich habe bisher immer nur gelesen, dass der Account automatisch gesperrt wird und nicht dass man da sagen kann "Neee, ich versuche lieber selber mal Accounts zu hacken. Lassen Sie den ruhig offen".
Und was soll das für ein Script sein? Nach 8 falschen Passwörtern kommt Captcha - und das ist serverseitig.... Ich kann es mir also nicht wirklich vorstellen, dass da ein Script die mehreren Sicherheitsschleusen beim MS-Login und die Captcha-Abfrage durchbricht.
Unmöglich ist nicht, aber ich halte es für extrem unwahrscheinlich.
Gerade da in der Vergangenheit alle angeblichen LIVE-Hacks nachweislich auf Drittanbieter wie EA und Co. oder Phishing-Mails zurückzuführen waren.
Ändert nix dran das MS bei den PW Richtlinien schlampt.
Aber es bleibt dabei ein weiterer Beweis dafür das Facebook böse ist udn dieser ganze Verknüpfungswahn mitunter doch eher gefählich als nützlich ist ^^.