Identitätsdiebstähle bei Xbox Live bestätigt

Allgemein

Microsoft hatte sie zunächst bestritten, musste sie jetzt aber eingestehen. Noch peinlicher aber ist die Erklärung: Es war für die Diebe ein Kinderspiel, das Support-Personal von Microsoft zu täuschen.

Wie wir berichteten, lösten Erfahrungen wie die von Kevin Finisterre Hacker-Alarm bei Xbox Live aus. Noch am Freitag hatte Microsoft dazu erklärt, man habe “keine Hinweise” für Sicherheitsverletzungen gefunden. Inzwischen aber doch, denn tatsächlich waren die Identitäten der Spieler in Form von Gamer Tags aus Microsofts eigenem Support-Center entwendet worden. Das wiederum hatte auch den Diebstahl realer Werte in der Microsoft-eigenen Währung “Points” ermöglicht.

Die Diebe hatten sich der altbekannten Pretexting-Methode bedient und sich gegenüber dem Support einfach als diejenigen ausgegeben, die sie berauben wollten. Es war offenbar spielend einfach, auf diese Weise an die gewünschten Daten zu kommen und die Accounts zu übernehmen.

Larry Hryb, bei Microsoft für die Programmierung von Xbox Live zuständig, gab das jetzt in einem Blog-Eintrag kleinlaut zu:

“Nachdem ich begriff, wovon er (Kevin Finisterre) sprach – er schickte mir ein paar Audio-Dateien, die anzuhören wirklich schmerzlich war – konnte ich in Erfahrung bringen, dass das Team sich dieses Problems voll und ganz bewusst ist. Sie überprüfen bereits ihre Vorschriften und haben damit begonnen, die Support-Mitarbeiter und Partner erneut zu schulen, um sicherzustellen, dass wir diese Art von Social-Engineering-Angriff eindämmen können.

Ich kann es nicht anders sagen; zu dieser Situation hätte es gar nicht erst kommen dürfen. Unsere Kunden verdienen es besser.”

Die aber sind wenig amüsiert. “Ich habe NULL Vertrauen in den Xbox-Support von MS, und alle anderen auch nicht”, meinte Benutzer jmel. Und Joergen8 will lieber ganz auf Nummer sicher gehen:

“Ich glaube, es wird Zeit, dass Sie Ihren Kunden die Möglichkeit geben, ihre Kreditkartennummern vollständig von diesem Dienst zu entfernen. Wenn es um Sicherheit geht, gibt es nur völlig sicher oder unsicher.”

Kevin Finisterre, der die Probleme mit seinem Bericht aufdeckte, konnte den gestohlenen Account bis heute nicht wieder verwenden. Er blieb in telefonischen Warteschleifen hängen und erhielt nicht einmal einen Rückruf.

(bk)

ComputerWorld

Xbox-Team-Blog

Hacker-Alarm bei Xbox Live