19.05.2008, 07:02
Gefahr für diejenigen, deren Accounts durch besondere Leistungen hervorstechen
Ihre Vorgehensweise ist recht simpel. Haben Account Hijacker ein Spielerprofil im Visier, rufen diese beim Microsoft Support an, und geben an, Eigentümer von diesem zu sein und jenes Passwort dafür vergessen zu haben. Der Microsoft-Mitarbeiter händigt anschließend, ohne weitere Informationsangaben zu verlangen, das Passwort aus.
Klingt unrealistisch? Allerdings. Doch die Praxis belegt erschreckenderweise das, was wir nie für möglich gehalten hätten. Unkompetente, leichtgläubige oder auch desinteressierte Mitarbeiter beim Support sind keine Seltenheit und eine erhebliche Sicherheitslücke.
-----
Populäres Beispiel:
Vorfall
Die BUNGIE Studios haben eine ganz besondere Art und Weise, Halo-Spieler, welche etwas besonderes leisten und BUNGIE-Mitarbeiter beeindrucken oder zum lachen bringen, zu belohnen. All jene Glücklichen, die dies schaffen, werden, sofern BUNGIE es für angebracht hält, mit der BUNGIE-exklusiven "Recon" Rüstung belohnt. Eine seltene Rüstung, die für viel Aufruhr in der Halo-Community sorgt, da sie nur von BUNGIE-Mitarbeitern und Leuten, die etwas herausragendes geleistet haben, getragen wird.
Jeder Halo-Spieler würde sich natürlich wahnsinnig über solch ein außergewöhnliches Geschenk freuen, doch kommt mit dem Segen zugleich der Fluch. Ständig neue Freundschaftsanfragen und Nachrichten... nervig, ohne Frage. Doch ist dies das geringste Problem für denjenigen, der sich nun von der Masse der Spieler abhebt. Das musste "Skyllus vBi", ein Spieler, der aufgrund eines lustigen Videos die Recon Rüstung von BUNGIE bekommen hat, ziemlich bald erfahren...
Nicht lange hat es gedauert, bis sein Account von einem "Account Hijacker" gestohlen wurde. Es passierte mitten im Spiel. Skyllus spielte Halo 3 online, als er plötzlich von Xbox Live getrennt wurde. Er konnte sich nicht mehr anmelden. Auch ein Anruf beim MS-Support konnte ihn nicht weiterhelfen. Sein Account wurde gestohlen, und das auf eine unvorstellbare Art. Ein Gespräch zwischen Account Hijacker und dem MS-Support von nicht einmal 15 Minuten hat genügt, um die nötigen Daten, um einen Account zu recovern, herauszufinden. Es gelingt einer Person, die nur den Gamertag von einer fremden Person kennt, die notwendigen Daten für eine Account-Übernahme zu erlangen.
Skyllus war sich sicher, dass sein Account gestohlen wurde, da es schon mehrere Versucht hatten. Als Sicherheitsmaßnahme änderte er sein Passwort in regelmäßigen Abständen. Doch dass es so leicht für den Dieb werden würde, konnte keiner Ahnen.
Aufgrund der eigenen Fahrlässigkeit des Hijackers, konnte Skyllus herausfinden, wer seinen Account gestohlen hatte. Schnell machten sie den Vorfall publik. Sie erstellten Topics in namenhaften Foren, jedoch nicht nur, um den Hijacker auffliegen zu lassen, sondern mit dem primärem Ziel, was uns alle betrifft: Microsoft darauf hinzuweisen, was für immense Sicherheitslücken der Kunden-Support und generell das System aufweist. Skyllus stellt seinen gestohlenen Account als zweitrangig dar. Viel wichtiger ist es ihm, dass so etwas inaktzeptabeles zukünftig nicht mehr passiert.
Dieser Vorfall erreichte schnell großes Aufsehen und schon bald wurde in diversen Foren über solche Account Hijacker diskutiert. Vermutungen machen sich mittlerweile breit, dass diese Hijacker zudem bestimmte Programme nutzen könnten, um die notwendigen Daten herauszufinden.
Es dauerte nicht lange, bis sich der Dieb "Kory", welcher Skyllus' Account gestohlen hatte, im Bungie.net- sowie Skyllus' Clan-Forum zu Wort meldete. Anstatt Reue zu zeigen, verhöhnte er Skyllus und all diejenigen, die etwas gegen die Hijacker unternehmen wollen. Er betitelt sich und seine anderen Hijacker-Freunde als "Legenden in Xbox Live", und dass sie nie erwischt werden würden und er Skyllus dankbar wäre, dass er ihm seine Daten "freiwillig" übergeben hätte und nicht mehr darauf hoffen soll, jemals seinen Account wiederzubekommen.
Erschreckenderweise bestätigte sich zudem, wie leicht es für Kory war, Accounts von anderen zu stehlen. Laut eigener Aussage habe er schon mehr als 40 Accounts gehijacked. Einige Bungie-Mitglieder glaubten seiner Aussage nicht und forderten zu Testzwecken und als Beweis, dass er ihre Accounts hijacken solle. Das tat er dann auch und kurze Zeit später hatte er sie in seinem Besitz.
Mit der Zeit meldeten sich immer mehr Hijacker und verhöhnten die User, stellten sich als übermächtig und unbezwingbar dar. Es stellte sich heraus, dass die Hijacker eine Clangemeinschaft sind und sich gegenseitig sehr gut kennen.
Mittlerweile sind diese Hijacker von Bungie.net verbannt. Ihre Accounts wurden gesperrt und ihre Halo-Statistiken auf Null gesetzt.
Nun versuchen Skyllus sowie alle weiteren Involvierten, andere Spieler zu warnen und auf die Sicherheitslücken aufmerksam zu machen und bei Microsoft Anklang zu finden, um eine erhöhte Sicherheit zu erzielen.
Quellen:
team-vbi Forum
bungie.net Forum
Team Xbox Forum
-----
Unglaublich und erschreckend, wie leicht es zu sein scheint, an wildfremde Daten zu kommen. Und einfach unverständlich, was für inkompetente Mitarbeiter beim Support tätig sind. Hoher Gamer Score, eine bestimmte erzielte Leistung in jeglichem Spiel, und schon könnte es ein Grund für einen Account Hijacker sein, zu versuchen, den Account für sich zu gewinnen, und das - wenn er sich geschickt anstellt - mit hohen Erfolgschancen...
Ihre Vorgehensweise ist recht simpel. Haben Account Hijacker ein Spielerprofil im Visier, rufen diese beim Microsoft Support an, und geben an, Eigentümer von diesem zu sein und jenes Passwort dafür vergessen zu haben. Der Microsoft-Mitarbeiter händigt anschließend, ohne weitere Informationsangaben zu verlangen, das Passwort aus.
Klingt unrealistisch? Allerdings. Doch die Praxis belegt erschreckenderweise das, was wir nie für möglich gehalten hätten. Unkompetente, leichtgläubige oder auch desinteressierte Mitarbeiter beim Support sind keine Seltenheit und eine erhebliche Sicherheitslücke.
-----
Populäres Beispiel:
Vorfall
Die BUNGIE Studios haben eine ganz besondere Art und Weise, Halo-Spieler, welche etwas besonderes leisten und BUNGIE-Mitarbeiter beeindrucken oder zum lachen bringen, zu belohnen. All jene Glücklichen, die dies schaffen, werden, sofern BUNGIE es für angebracht hält, mit der BUNGIE-exklusiven "Recon" Rüstung belohnt. Eine seltene Rüstung, die für viel Aufruhr in der Halo-Community sorgt, da sie nur von BUNGIE-Mitarbeitern und Leuten, die etwas herausragendes geleistet haben, getragen wird.
Jeder Halo-Spieler würde sich natürlich wahnsinnig über solch ein außergewöhnliches Geschenk freuen, doch kommt mit dem Segen zugleich der Fluch. Ständig neue Freundschaftsanfragen und Nachrichten... nervig, ohne Frage. Doch ist dies das geringste Problem für denjenigen, der sich nun von der Masse der Spieler abhebt. Das musste "Skyllus vBi", ein Spieler, der aufgrund eines lustigen Videos die Recon Rüstung von BUNGIE bekommen hat, ziemlich bald erfahren...
Nicht lange hat es gedauert, bis sein Account von einem "Account Hijacker" gestohlen wurde. Es passierte mitten im Spiel. Skyllus spielte Halo 3 online, als er plötzlich von Xbox Live getrennt wurde. Er konnte sich nicht mehr anmelden. Auch ein Anruf beim MS-Support konnte ihn nicht weiterhelfen. Sein Account wurde gestohlen, und das auf eine unvorstellbare Art. Ein Gespräch zwischen Account Hijacker und dem MS-Support von nicht einmal 15 Minuten hat genügt, um die nötigen Daten, um einen Account zu recovern, herauszufinden. Es gelingt einer Person, die nur den Gamertag von einer fremden Person kennt, die notwendigen Daten für eine Account-Übernahme zu erlangen.
Skyllus war sich sicher, dass sein Account gestohlen wurde, da es schon mehrere Versucht hatten. Als Sicherheitsmaßnahme änderte er sein Passwort in regelmäßigen Abständen. Doch dass es so leicht für den Dieb werden würde, konnte keiner Ahnen.
Aufgrund der eigenen Fahrlässigkeit des Hijackers, konnte Skyllus herausfinden, wer seinen Account gestohlen hatte. Schnell machten sie den Vorfall publik. Sie erstellten Topics in namenhaften Foren, jedoch nicht nur, um den Hijacker auffliegen zu lassen, sondern mit dem primärem Ziel, was uns alle betrifft: Microsoft darauf hinzuweisen, was für immense Sicherheitslücken der Kunden-Support und generell das System aufweist. Skyllus stellt seinen gestohlenen Account als zweitrangig dar. Viel wichtiger ist es ihm, dass so etwas inaktzeptabeles zukünftig nicht mehr passiert.
Dieser Vorfall erreichte schnell großes Aufsehen und schon bald wurde in diversen Foren über solche Account Hijacker diskutiert. Vermutungen machen sich mittlerweile breit, dass diese Hijacker zudem bestimmte Programme nutzen könnten, um die notwendigen Daten herauszufinden.
Es dauerte nicht lange, bis sich der Dieb "Kory", welcher Skyllus' Account gestohlen hatte, im Bungie.net- sowie Skyllus' Clan-Forum zu Wort meldete. Anstatt Reue zu zeigen, verhöhnte er Skyllus und all diejenigen, die etwas gegen die Hijacker unternehmen wollen. Er betitelt sich und seine anderen Hijacker-Freunde als "Legenden in Xbox Live", und dass sie nie erwischt werden würden und er Skyllus dankbar wäre, dass er ihm seine Daten "freiwillig" übergeben hätte und nicht mehr darauf hoffen soll, jemals seinen Account wiederzubekommen.
Erschreckenderweise bestätigte sich zudem, wie leicht es für Kory war, Accounts von anderen zu stehlen. Laut eigener Aussage habe er schon mehr als 40 Accounts gehijacked. Einige Bungie-Mitglieder glaubten seiner Aussage nicht und forderten zu Testzwecken und als Beweis, dass er ihre Accounts hijacken solle. Das tat er dann auch und kurze Zeit später hatte er sie in seinem Besitz.
Mit der Zeit meldeten sich immer mehr Hijacker und verhöhnten die User, stellten sich als übermächtig und unbezwingbar dar. Es stellte sich heraus, dass die Hijacker eine Clangemeinschaft sind und sich gegenseitig sehr gut kennen.
Mittlerweile sind diese Hijacker von Bungie.net verbannt. Ihre Accounts wurden gesperrt und ihre Halo-Statistiken auf Null gesetzt.
Nun versuchen Skyllus sowie alle weiteren Involvierten, andere Spieler zu warnen und auf die Sicherheitslücken aufmerksam zu machen und bei Microsoft Anklang zu finden, um eine erhöhte Sicherheit zu erzielen.
Quellen:
team-vbi Forum
bungie.net Forum
Team Xbox Forum
-----
Unglaublich und erschreckend, wie leicht es zu sein scheint, an wildfremde Daten zu kommen. Und einfach unverständlich, was für inkompetente Mitarbeiter beim Support tätig sind. Hoher Gamer Score, eine bestimmte erzielte Leistung in jeglichem Spiel, und schon könnte es ein Grund für einen Account Hijacker sein, zu versuchen, den Account für sich zu gewinnen, und das - wenn er sich geschickt anstellt - mit hohen Erfolgschancen...