International Cricket 2010: Hacks: Ist die Windows Live ID die Schwachstelle?

Wir berichteten bereits in der vergangenen Woche darüber, dass in letzter Zeit immer mehr Spieler darüber klagen, dass ihre Xbox LIVE Konten von Unbekannten übernommen werden um kostenpflichtige Transaktionen durchzuführen. Auch wenn Microsoft selbst immer noch keine offizielle Stellungnahme zu diesem Vorfall abgegeben hat, scheint sich nun die Windows Live ID möglicherweise als Schwachstelle herauszustellen.

Wie der Netzwerk-Techniker Jason Coutee, selbst Opfer einer dieser Angriffe, nun herausgefunden hat, ist die Website von Microsofts Online-ID nur mäßig gegen Angriffe von außen geschützt. Coutee sammelte Gamertags zahlreicher Mitspieler und nutzte Suchdienste wie Google und Social Networks wie Facebook oder Twitter um an entsprechende Emailadressen zu gelangen. Diese gab er dann als Benutzername bei Xbox Live ein und fügte ein beliebiges Passwort hinzu. Folgte im Anschluss die Meldung "That Windows Live ID doesn't exist", gab es keinen Account, der mit dieser Email verknüpft ist. Tauchte stattdessen die Nachricht "The email address or password is incorrect" auf, handelte es sich tatsächlich um ein existierendes Konto

Nun begab er sich auf die Xbox LIVE-Homepage, die mit dem Windows LIVE ID-System verknüpft ist und gab wahllos beliebige Passwörter ein. Dabei viel ihm auf, dass erst nach acht Versuchen ein so genanntes CAPCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) zur Sicherheit eingeblendet wurde, und die Eingaben erschwerte. Mittels eines einfachen Scripts könne diese Abfrage sogar unterbunden werden, was so genannte Brute Force-Attacken möglich mache, die Passwörter innerhalb weniger Stunden knacken. Microsoft sei sich dieses Problems bewusst und arbeite bereits an einer Lösung.

Du willst mehr?
Werde registriertes Mitglied von XboxFRONT und nutze zahlreiche zusätzliche Funktionen wie die Watchlist, werde Fan unserer facebook-Seite, folge uns bei Twitter oder abonniere unseren RSS-Feed.