(PressFire.no): Forrige helg skrev vi at mange Xbox LIVE-kontoer har vært utsatt for svindel den siste tiden. Microsoft har derimot holdt fast på at det ikke er noe brudd på sikkerheten deres, og har antydet at innbruddene må ha skjedd via en tredjepart, gjennom såkalt «phishing».
Nå ser det ut til at det er Xbox.com som er akilleshælen i Xbox LIVE-sikkerheten. Der kan en tilsynelatende tvinge seg inn på andres konti ved hjelp av et skript som genererer passord, fordi kontoen ikke vil bli sperret samme hvor lenge du prøver.
Etter at LIVE-brukeren Jason Coutee opplevde innbrudd på kontoen sin, og Microsoft ikke ville refundere pengene som var stjålet, tok han etterforskningen i egne hender. Det skriver AnalogHype.com.
Coutee startet med å samle inn gamertags etter en runde i «Halo: Reach», og så søkte han opp disse på internett for å finne korresponderende epostadresser. Takket være Facebook, Twitter og Google hadde han snart en rekke potensielle brukernavn.
Når en kjenner en gyldig bruker-ID, er det deretter mulig for hackere å tvinge seg inn på LIVE-kontoene med et skript som genererer potensielle passord, da siden tilsynelatende tillater et uendelig antall forsøk på pålogging uten å sperre kontoen.
Etter hvert åttende forsøk må en bare skrive inn en captcha-kode – eller trykke på linken for å prøve med en annen ID, som resetter koden. Det er en prosess som en dyktig hacker kan automatisere, og derfor en alvorlig svikt i sikkerheten til nettstedet.
Ifølge AnalogHype tok Cautee kontakt med både Xbox-brukerservice og Microsoft for å rapportere denne sikkerhetssviketen, men skal ha blitt avvist.
Det anerkjente spillmagasinet EDGE skriver at de har bekreftet at prosedyren med å resette koden etter åtte passordforsøk, er korrekt. Microsoft har ennå ikke kommet med noen uttalelse om dette.
