Xbox.com hat wohl schwerwiegende Schwachstelle

Windows Phone, App, Logo, Xbox Live, Fernbedienung Bildquelle: Microsoft
Seit Mitte Oktober beschäftigen merkwürdige "Hacks" so manchen Nutzer von Xbox Live (XBL). Was mit unautorisierten Zugriffen auf Accounts von FIFA-Spielern begonnen hat, beschäftigt immer noch so manchen XBL-Nutzer.
Wie 'Analoghype' herausgefunden hat, steht diese, offenbar nach wie nicht geschlossene Sicherheitslücke, nicht im Zusammenhang mit dem Xbox-Live-Service selbst, sondern mit der Webseite Xbox.com, genauer gesagt mit der Windows Live ID.

'Analoghype' hat mit dem Netzwerk-Techniker Jason Coutee gesprochen, der selbst von einem derartigen Einbruch betroffen war. Unbekannte kauften auf seinem Account 8000 Microsoft Points (die "Währung" von Xbox Live) und wollten die Points in ein Xbox Live Family Pack investieren. Diese Transaktion konnte er mit Hilfe des Microsoft-Supports gerade noch stoppen.


Das Angebot des Supports, seinen Account für 30 Tage einzufrieren, schlug er aus, um selbst Untersuchungen durchführen zu können. Wie 'Analoghype' schreibt, habe er die nächsten Wochen damit verbracht, die Schwachstelle des Systems zu suchen. Und fand sie offenbar.

Coutee fand heraus, dass die "Achillesferse" des Systems die Webseite Xbox.com ist. Er sammelte (beim Zocken von Multiplayer-Spielen auf der Xbox 360) Gamertags, die passenden Windows Live IDs fand er mit Hilfe von mit E-Mails verknüpften Diensten wie Facebook oder Twitter heraus.

Diese gab er dann als Nutzername bei Xbox Live ein und tippte wahllos ein Passwort ein. Wenn in Folge die Meldung "That Windows Live ID doesn't exist" erschien, dann war kein Account mit dieser Mail verknüpft. Wenn dagegen die Nachricht "The email address or password is incorrect" auftauchte, dann handelte es sich um ein existierendes Konto.

Hat man dann einmal eine tatsächlich existierende Windows Live ID, hat man acht Versuche, bevor die CAPTCHA-Funktion ("Completely Automated Public Turing test to tell Computers and Humans Apart", also den bekannten Eingabetest mit "verschwommenen" Wörtern) von Microsoft anspringt.

Wie auch 'Eurogamer' berichtet, kann dieses Sicherheitssystem in Folge mit einem simplen Script, das Passwörter erzeugt, ausgetrickst werden, sodass CAPTCHA gar nicht erst anspringt. Auf dieses Weise können so genannte "Brute Force"-Attacken durchgeführt werden. Nach Angaben von Eurogamer ist Microsoft dieses Problem bekannt, eine offizielle Stellungnahme zum Thema gibt es derzeit aber noch nicht.

Anmerkung: Link zu 'Analoghype' wird nachgereicht, die Seite ist zur Zeit nicht erreichbar. Windows Phone, App, Xbox Live, Fernbedienung Windows Phone, App, Xbox Live, Fernbedienung Microsoft
Mehr zum Thema: Xbox 360
Diese Nachricht empfehlen
Kommentieren34
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 05:15 Uhr Oehlbach Phaser Phasendetektor
Oehlbach Phaser Phasendetektor
Original Amazon-Preis
73,84
Im Preisvergleich ab
63,75
Blitzangebot-Preis
47,84
Ersparnis zu Amazon 35% oder 26

Beliebteste Xbox 360 im Preisvergleich

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden