Xbox.com hat wohl schwerwiegende Schwachstelle

Seit Mitte Oktober beschäftigen merkwürdige "Hacks" so manchen Nutzer von Xbox Live (XBL). Was mit unautorisierten Zugriffen auf Accounts von FIFA-Spielern begonnen hat, beschäftigt immer noch so manchen XBL-Nutzer. mehr... Windows Phone, App, Logo, Xbox Live, Fernbedienung Bildquelle: Microsoft Windows Phone, App, Xbox Live, Fernbedienung Windows Phone, App, Xbox Live, Fernbedienung Microsoft

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Na das ist ja großartig durchdacht. ziemlicher anfängerfehler. Doof nur, dass es bei Microsoft war und nicht bei Apple. So gibt es nur ein paar
, ja kann ja mal passieren Kommentare. Bei Apple wäre es ein logingate mit 300+ Kommentare geworden.
 
@balini: So ein Fehler darf natürlich nicht passieren. Wenn CAPTCHA ausgehebelt werden kann, dann nicht nur auf XBOX.com. Da sollte man aber auch Datenbanktechnisch was machen können. zum Beispiel 10 Versuche und dann Konto sperren...
 
@ThorIsHere: Mal richtig gelesen? das CAPTCHA ist nicht gebrochen, es gibt nur irgendeinen Weg, dass es gar nicht erst genutzt wird!
 
@DRMfan^^: Mal richtig gelesen? Ich hab geschrieben "CAPTCHA ausgehebelt" und damit meinte ich, dass es umgangen wird.
 
@ThorIsHere: Dann betrifft es aber die EINBINDUNG, hat also mit anderen Websites nichts zu tun.
 
@DRMfan^^: Andere Dienste nutzen auch CAPTCHA und können umgangen/ausgehebelt werden. Dies muss nicht auf dem selben Weg wie bei XBOX.com geschehen. Für unterschiedliche Websites mit CAPTCHA gibt es dementsprechend auch unterschiedliche Herangehensweisen.
 
@balini: Boa wie mir die vergleiche auf den Sack gehen. In der News geht es rein um Microsofts Xbox.com. Ein solches Angebot hat Apple nicht mal im Angebot, also bitte keine Sinnlosen vergleiche. Es ist dramatisch das beide Firmen sich zu lasch um Datenschutz kümmern, das ist die einzige Gemeinsamkeit die man bemängeln kann.
 
@ThreeM: so etwas hat Apple nicht im angebot? Aha, Stichwort Apple id? Der Dienst ist vollkommen egal, es geht um ein lausiges Login verhalten.
 
@balini: Trotzdem hat die News nix mit Apple zu tun, und dennoch ziehst du einen Vergleich um zu polarisieren indem du vermutungen anstellst "bei Apple hätte jeder gemeckert" auch hier wird gemeckert, den egal ob es MS Apple oder sonst wer ist, das Ergebnis ist unbefriedigend. Da muss man auch nicht sagen, "Bei MS wirds akzeptiert beim armen Apple nicht" den egal wo es passiert wäre, alle Kunden wären unzufrieden.
 
@ThreeM: Ich finde solche Vergleiche gut, da sonst keiner bemerkt, wie hier auf Apple-News reagiert wird. Bei einer negativen Apple-News gibt es innerhalb 5 Minuten ca. 80 Hass-Kommentare, bei allen anderen Firmen interessiert es keinen Menschen, und alles wird schöngeredet. Ein gutes Beispiel war die MS-XBOX/Foxconn-News letzte Woche.
 
@Turk_Turkleton: Is doch egal. Wie kann man denn ein Image eines Unternehmens so verbissen verteidigen? Solche vergleiche zeigen nix, außer das man einer bestimmten Fraktion angehört. Egal ob es Apple oder MS passiert ist, es ist ein unding!
 
@balini: du hast absolut Recht. Leider sind die Apple-Hasser zu verblendet um sich einzugestehen dass du Recht hast.
 
@Turk_Turkleton: Noch so ein Intelligenzverweigerer ... Ihr Clowns habt scheinbar noch immer nicht begriffen, dass sich die Welt nicht um Apple dreht und es kein Zeichen von Hass ist, wenn es mal in einer Melddung nicht um Apple geht.
 
@Drachen: Intelligenzverweigerer... dein Stichwort! Anhand deines sinnfreien Comments erkennt man dass du unsere Comments anscheinend nicht verstanden hast.
 
@Turk_Turkleton: Ach je, das ist ja wirklich billig. Wer nicht zustimmt, hat es also angeblich nicht verstanden. Oder war das ein versehentlicher Anfall von Selbstkritik Deinerseits?
 
Naja ich finde es eigentlich völlig korrekt, dass mit dieses dumme Captcha nicht selbst schon beim normalen Einloggen auf den Sack geht. Vielleicht sollte man es bereits nach dem 1. oder 2. falschen Login anspringen lassen; nicht erst nach dem 8.. Aber generell liegt hier kein technischer Mangel vor. Im Endeffekt sind es wiedermal die User mit zu schwachen Passwörtern, die hier "gehackt" werden - allerdings loggt einen xbox live auch permanent aus und erlaubt nicht das Speichern des Passworts im Browser - von dem her wundert es mich nicht, wenn die Leute da kein einzigartiges kryptischens langes Password wählen.
 
@monte: hä? Du hast aber nix verstanden. Es geht nicht darum, ob das captcha nach 8 oder 2 versuchen anspringt. Es geht darum, dass du das captcha aushebeln kannst, und es gar nicht mehr erscheint. Und das ms so doof ist für existierende und nicht existierende Accounts zwei untschiedliche Meldungen auszugeben.
 
@balini: Vor allem wäre letzteres Problem in 2 min beseitigt ...
 
@balini: Oh okay, hatte den letzten Absatz ein bisschen falsch verstanden (aufgrund der "absoluten" Ausdrucksweise im Vorletzten Absatz - hätte man hier und dort einen Konjunktiv oder Wörter wie "normalerweise" eingefügt, so liese sich das sehr viel besser. Beim erneuten Lesen immerhin auch gleich einen das/dass Fehler gefunden^^ (...Script, dass...)
 
@balini: Also MS als Doof zu bezeichnen weil sie usability bieten finde ich übertönt. Um sicher zu sein sollte man schon unterschliedliche Passwörter und eventuell auch E-Mailadressen verwenden. Ich finde es daher passend als Benutzer darauf hingewiesen zu werden: ok, meine Mail stimmt nicht, oder mein Passwort stimmt nicht. DAS ist gut. SCHLECHT ist dass das CAPTCHA umgangen werden kann und noch viel schlechter, dass nicht nach n Versuchen der Account blockiert wird und nur über einen alternativen Kommunikationsweg wieder aktiviert werden kann. Aber Du bist sehr aufgebracht wie man in den Kommentaren herausliest, deswegen geb ich auf die Beleidigungen in Richtung MS nicht so viel :)
 
Also sind erstmal nur Leute betroffen deren Mail-Adresse offen im Internet (z.B. Facebook bzw Twitter) steht und der Gamertag dabei "steht". Also ist es theoretisch sinnvoll für XBL eine extra Mailadresse zu haben mit der man nicht auf z.B. Twitter oder Facebook alles rumposaunt was man grad so geschafft hat Ingame..
 
ich bin ebenfalls betroffen, obwohl ich mit meinen daten sehr sorgsam umgehe - (schaden in summe rund 8000 punkte, lt. micrsoft das transaktionshöchstlimit) - fazit: 3 wochen kein xbox live und zusätzlich noch zeitaufwand (kreditkartenfirma etc. muss man auch informieren), der hotline mitarbeiter war recht geschwätzig, und hat mir erzählt, dass es zur zeit sehr sehr viele betroffene gibt... wir haben dann auch noch darüber gesprochen,m dass es eigentlich keine sinn macht da die inhalte normalerweise nicht übertragen werden können und an den account gebunden sind...

edit: danke an den honk für das minus - opfer!
 
" Wie auch 'Eurogamer ' berichtet, kann dieses Sicherheitssystem in Folge mit einem simplen Script, das Passwörter erzeugt, ausgetrickst werden, sodass CAPTCHA gar nicht erst anspringt." - hä? was generiert dieses tolle script? sqli?
 
@Omegavirus: "A simple password-generating script can apparently be used to exploit this system before CAPTCHA kicks in." Für mich klingt das so, dass das Passwort abgefeuert/abgefragt wird, bevor CAPTCHA überhaupt angezeigt wird.
 
@ThorIsHere: ungeachtet dessen das das so echt unverständlich beschrieben ist kann man das auf hundert arten auslegen. wenn es so wäre wie du es verstanden hast könnte man es doch auch so beschreiben? einfach immer den selben post/get request mit anderem pw oder sowas in die richtung.. dann kennt sich jeder aus..?
 
@Omegavirus: Wie würdest du es denn verstehen? ^^
 
@ThorIsHere: garnicht, weil ja absolut nichts da steht wie's funktioniert. Lediglich das irgendwas passiert bevor das Captcha aktiviert wird.
 
Hoffentlich greifen die Hacker nicht in meine Rennspiele ein. Es wäre katastrophal, wenn meine ganzen Anstrengungen und Siege den Bach runtergehen würden.
 
@manja: Da würde ich gleich mal vorsorglich bei Amnesty International anrufen ;) SCNR
 
@manja: Das wollen die bestimmt nur dich und deinen XBL Account angreifen :-).
 
@manja: hä? Was interessiert einen Hacker dein Rennspiel? Und was für Anstrengungen und Siege? An deinen lokalen Spielstand im singleplayer kommen se eh nicht, da der auf deiner hdd liegt. Zusätzlich kann man ja von dem auch noch ne Kopie auf nen USB Stick ziehen. Und im Multi liegen deine Statistiken auf dem spieleserver. verstehe folglich deinen Kommentar nicht.
 
@balini: ich glaub es geht ihm/ihr um die erfolge
 
Genau genommen (bis auf den Fehler mit den CAPTCHAS) ist es wieder der sorglose Umgang mit den eigenen Daten der jeweiligen Benutzer...
 
Der Account kann aber nur gehackt werden, wenn das Password zu kurz oder im Wörterbuch zu finden ist. Ansonsten dauern Brute-Force Attacken einfach zu lange, selbst mit Botnetz :) Wer so ein Passwort für einen Account benutzt bei dem seine Kreditkarte eingetragen ist, ist selbst schuld!
Das Microsoft aber nicht eine 15min IP-Sperre oder ähnlich bei etwa 7 Fehlversuchen verwendet ist fahrlässig.
Kommentar abgeben Netiquette beachten!

Beliebteste Xbox 360 im Preisvergleich

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.