Slik kan Xbox Live ha blitt hacket

Sikkerhetshullet som eksponerte tusenvis av kontoer er muligens funnet.

I forrige uke skrev vi en sak om at stadig flere opplever at Xbox Live-kontoen deres stjeles. Vi delte blant annet historien til vår egen Øystein Furevik, og oppfordret leserne til å sende egne erfaringer til oss.

I tiden som har gått har vi fått flere e-poster fra lesere som har opplevd å få Xbox Live-kontoene sine frastjålet i løpet av det siste halvåret. Flere av dem rapporterer om at tyvene har forsynt seg grådig av Microsoft-poeng på kontoen, og kjøpt flere poeng ved hjelp av betalingsinformasjonen som hos mange ligger lagret i kontoen.

Er det her problemet ligger?

Nå hevder et nettsted som heter AnalogHype at de har funnet svakheten i Microsofts sikkerhetssystem. Informasjonen har de fått av Jason Coutee, en IT-arbeider som selv opplevde å få kontoen sin frarøvet.

Ifølge Coutee ligger problemet på Xbox.com. Her kan man logge seg på gjennom Windows Live, og det man trenger er brukerens e-postadresse og passord. Siden vi lever i en verden med Twitter, Facebook og massevis av andre åpne kilder på informasjon om oss er det visstnok ikke spesielt vanskelig å, for eksempel, spille et slag Halo 3 på nettet, søke opp gamertag-ene til spillerne man møter og finne potensielle Windows Live id-er for eierne av disse gamertag-ene.

Siden feilmeldingen man får når man forsøker å logge seg på med en ikke-eksisterende id er annerledes den man får om man kun mangler passord, skjønner tyvene umiddelbart om de har truffet blink.

Da er det bare passordet som gjenstår, og det er her sikkerhetsproblemet skal ligge. Ved hjelp av litt triksing er det ifølge Coutee mulig å få en ubegrenset mengde forsøk på å gjette passordet ditt. Tyvene overlater denne prosessen til et automatisert program, og siden de ikke blir sparket ut etter et visst antall feil forsøk har programmet mulighet til å gjette så mange ganger det vil.

Hvis passordet er litt svakt i utgangspunktet, er det altså slett ikke usannsynlig at programmet etter hvert finner riktig passord, og at tyvene dermed får full tilgang på Xbox Live-kontoen din.

Jason Coutee skal ha forsøkt å ta kontakt med Microsoft for å informere om svakheten, men har på tross av flere forsøk ikke lykkes å komme i noen skikkelig dialog med den amerikanske giganten. Da nettstedet Eurogamer tok kontakt med Microsoft om dette fikk de beskjed om at selskapet var klar over saken. De skal visstnok komme tilbake med et formelt svar.

Ikke alle kjøper Coutees teori. Mats Lindh, som er teknisk ansvarlig hos Gamer.no, har følgende innvending:

– Med tanke på mengden kombinasjoner av kjente brukernavn og mulige (om enn enkle) passord så høres dette ut som en usannsynlig angrepsvinkel. Et angrepsforsøk av en slik skala ville helt sikkert ha blitt oppdaget hos Microsoft, der det garantert finnes en graf som viser antallet innloggingsforsøk og feilkoder mot Xbox Live i løpet av den siste tiden. Det ville ha vært en smal sak for Microsoft å gjøre enkle grep for å redusere effektiviteten av angrepet, og i praksis kunne avverge det helt.

Inntil videre bør du uansett passe på at du har et godt passord, og det er nok også lurt å sørge for at ikke det ligger brukbare bankopplysninger assosiert med kontoen din.

Siste fra forsiden