Xbox & Games for Windows LIVE - Xbox.com als Sicherheitslücke?

Nicht Konsole oder PC-Menü sondern die Internetseite Xbox.com soll schuld daran sein, dass zahlreiche Spieler ihre Gamertags verlieren.

von Michael Obermeier,
16.01.2012 11:20 Uhr

In den vergangenen Monaten gab es nahezu unzählige Meldungen über geklaute Xbox- und Games-for-Windows-LIVE-Accounts, bei denen mit Kreditkarten und andere hinterlegte Zahlungsmittel MS-Points und DLCs zu FIFA 12 gekauft wurden. Auch in unseren Redaktionen und unserer Community gab es Opfer dieser »Account-Diebststahl-Welle«. Der Betreiber Microsoft hatte auf unsere Nachfragen zwar nicht erklären können, wie die Datendiebe an die Zugangsdaten zu den Konten gekommen sind, schloss aber einen »Hack« des Xbox-LIVE-Dienstes kategorisch aus.

Laut einem Informanten soll Xbox.com die Achillesferse des LIVE-Diensts sein.Laut einem Informanten soll Xbox.com die Achillesferse des LIVE-Diensts sein.

Wie jetzt die Website Eurogamer.net berichtet, scheint die Sicherheitslücke woanders zu liegen. So hat Eurogamer per E-Mail Hinweise von einem gewissen »Jason« bekommen, dass die Zugangsdaten über die Internetseite »Xbox.com« abgefischt werden.

Zunächst recherchieren die Diebe über Suchmaschinen nach einem validen Gamertag. Da der Xbox- und Windows-LIVE-Spielername mit Diensten wie Facebook oder Twitter verknüpft ist, lässt sich zum Gamertag schnell eine zugehörige E-Mail-Adresse finden. Mit dieser klopfen die Diebe dann bei Xbox.com an. Die Website kommentiert jede falsche Eingabe mit zwei Fehlermeldungen: »Die E-Mail-Adresse oder das Passwort ist nicht korrekt« oder »Diese Windows LIVE ID existiert nicht«. So erkennen die Diebe schon beim ersten Versuch, ob die eingegebene E-Mail-Adresse zu einer funktionierenden LIVE-ID gehört. Da Xbox.com erst nach dem achten Fehlversuch ein sogenanntes »Captcha« (Bild mit Buchstaben) vor die Passwort-Abfrage setzt, können die Diebe laut »Jason« mit Password-Skripts weiterarbeiten um mit Gewalt Zugang zu bekommen.

Fast zeitgleich mit Eurogamer hat auch die Website AnalogHype.com eine ähnliche Anleitung von einem »Jason Coutee« bekommen. Der Verdacht, dass es sich dabei um die gleiche Person handelt, ist also berechtigt. Gegenüber AnalogHype.com behauptet der Netzwerk-Infrastruktur-Manager Coutee, selbst Opfer der Datendiebe geworden zu sein. Auf seine Anfragen beim Microsoft-Kundendienst wurde ihm jedoch nur angeboten sein Konto einzufrieren, nicht aber ihn für die 8000 MS-Points zu entschädigen, die unrechtmäßig mit seinem Geld gekauft wurden. Daraufhin hat er die Angelegenheit selbst in die Hand genommen und eigenmächtig die angebliche Sicherheitslücke Xbox.com aufgespürt.

Bislang gibt es keine Stellungnahme von Microsoft zu den Anschuldigungen von Jason Coutee.


Kommentare(20)

Nur angemeldete Benutzer können kommentieren und bewerten.