Xbox-Website Lose Sicherheit ist die Quelle für gehackte Xbox-Konten
Anfang dieser Woche haben wir über die steigende Zahl von Xbox LIVE-Nutzern berichtet, deren Konten in den letzten Tagen gestohlen wurden. Microsoft hat das Problem heruntergespielt und es als Ergebnis von Phishing-Betrug abgetan, der nichts mit der Xbox LIVE-Sicherheit zu tun hat, aber heute scheint ein Benutzer entdeckt zu haben, wie Hacker die Xbox.com-Website ausgenutzt haben, um diese Konten zu stehlen.
Das Schlupfloch wurde von Jason Coutee, einem Netzwerkinfrastrukturmanager, entdeckt, der es über AnalogHype.de. Laut Coutee beginnt der Prozess einfach mit der Eingabe eines beliebigen Gamertags in Google, um die damit verbundene Windows Live-ID herauszufinden. Danach muss der Hacker nur noch ein Brute-Force-Skript ausführen, das ein Wörterbuch von Passwörtern mit dieser Kennung auf Xbox.com ausprobiert.
Microsoft hat den Kopf in den Sand gesteckt und eine Erklärung abgegeben, in der es heißt, dass "Dies ist keine 'Lücke' in Xbox.com. Die beschriebene Hacking-Technik ist ein Beispiel für Brute-Force-Angriffe und ist ein branchenweites Problem."
Nach Ansicht unserer Sicherheitsexperten gehören Brute-Force-Angriffe wie der hier beschriebene zu den grundlegendsten Angriffen, und richtig konzipierte Online-Systeme sind für sie unempfindlich. Der Brute-Force-Angriff auf Xbox.com kann beispielsweise dadurch entschärft werden, dass die Wartezeit zwischen den Anmeldeversuchen erhöht wird und der Benutzer nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldungen zur Eingabe eines Capatcha aufgefordert wird. Tatsächlich fordert Xbox.com die Benutzer bereits nach 8 fehlgeschlagenen Anmeldeversuchen auf, ein Capatcha einzugeben; das Problem ist, dass die Seite einen Link enthält, über den man einen anderen Benutzernamen ausprobieren kann, der den Zähler der fehlgeschlagenen Versuche zurücksetzt, sobald er angeklickt wird.
Microsoft vergaß in seiner Erklärung nicht zu betonen, dass "Microsoft kann bestätigen, dass es keinen Verstoß gegen die Sicherheit unseres Xbox Live-Dienstes gegeben hat."
![Assassin's Creed Shadows v1.0-v1.0.4+ (+23 Trainer) [FLiNG]](https://9588947a.delivery.rocketcdn.me/wp-content/uploads/2025/03/assassins-creed-shadows-7.jpg)
![Dying Light 2: Stay Human v1.22.3c (+22 Trainer) [iNvIcTUs oRCuS]](https://9588947a.delivery.rocketcdn.me/wp-content/uploads/2024/03/ss-df6aeb006060f7b26439f4bc7bee8b9e96c80e02.1920x1080.jpg)
![Age of Empires II: Definitive Edition v1.0-Build.141935+ (+12 Trainer) [FLiNG]](https://9588947a.delivery.rocketcdn.me/wp-content/uploads/2024/01/aoede.jpg)
