Xbox.com hat wohl schwerwiegende Schwachstelle

Seit Mitte Oktober beschäftigen merkwürdige "Hacks" so manchen Nutzer von Xbox Live (XBL). Was mit unautorisierten Zugriffen auf Accounts von FIFA-Spielern begonnen hat, beschäftigt immer noch so manchen XBL-Nutzer.
App, Logo, Windows Phone, Xbox Live, Fernbedienung
Microsoft
Wie 'Analoghype' herausgefunden hat, steht diese, offenbar nach wie nicht geschlossene Sicherheitslücke, nicht im Zusammenhang mit dem Xbox-Live-Service selbst, sondern mit der Webseite Xbox.com, genauer gesagt mit der Windows Live ID.

'Analoghype' hat mit dem Netzwerk-Techniker Jason Coutee gesprochen, der selbst von einem derartigen Einbruch betroffen war. Unbekannte kauften auf seinem Account 8000 Microsoft Points (die "Währung" von Xbox Live) und wollten die Points in ein Xbox Live Family Pack investieren. Diese Transaktion konnte er mit Hilfe des Microsoft-Supports gerade noch stoppen.


Das Angebot des Supports, seinen Account für 30 Tage einzufrieren, schlug er aus, um selbst Untersuchungen durchführen zu können. Wie 'Analoghype' schreibt, habe er die nächsten Wochen damit verbracht, die Schwachstelle des Systems zu suchen. Und fand sie offenbar.

Coutee fand heraus, dass die "Achillesferse" des Systems die Webseite Xbox.com ist. Er sammelte (beim Zocken von Multiplayer-Spielen auf der Xbox 360) Gamertags, die passenden Windows Live IDs fand er mit Hilfe von mit E-Mails verknüpften Diensten wie Facebook oder Twitter heraus.

Diese gab er dann als Nutzername bei Xbox Live ein und tippte wahllos ein Passwort ein. Wenn in Folge die Meldung "That Windows Live ID doesn't exist" erschien, dann war kein Account mit dieser Mail verknüpft. Wenn dagegen die Nachricht "The email address or password is incorrect" auftauchte, dann handelte es sich um ein existierendes Konto.

Hat man dann einmal eine tatsächlich existierende Windows Live ID, hat man acht Versuche, bevor die CAPTCHA-Funktion ("Completely Automated Public Turing test to tell Computers and Humans Apart", also den bekannten Eingabetest mit "verschwommenen" Wörtern) von Microsoft anspringt.

Wie auch 'Eurogamer' berichtet, kann dieses Sicherheitssystem in Folge mit einem simplen Script, das Passwörter erzeugt, ausgetrickst werden, sodass CAPTCHA gar nicht erst anspringt. Auf dieses Weise können so genannte "Brute Force"-Attacken durchgeführt werden. Nach Angaben von Eurogamer ist Microsoft dieses Problem bekannt, eine offizielle Stellungnahme zum Thema gibt es derzeit aber noch nicht.

Anmerkung: Link zu 'Analoghype' wird nachgereicht, die Seite ist zur Zeit nicht erreichbar.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:35 Uhr YV 520mb/s USB SticksYV 520mb/s USB Sticks
Original Amazon-Preis
39,99
Im Preisvergleich ab
?
Blitzangebot-Preis
31,99
Ersparnis zu Amazon 20% oder 8
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!