'Xbox Live-hackers misbruiken Microsoft-helpdesk'

Hoewel Microsoft steevast blijft ontkennen dat Xbox Live onveilig is, claimen hackers dat ze door middel van social engineering de Live-helpdesk gebruiken om aan accountgegevens te komen. De Infamous-clan zegt op zijn website aan meer dan tien accounts per dag te komen.

Xbox accountdiefstal

De clan beweert op zijn website, die momenteel onbereikbaar is, dankzij de Microsoft Xbox-helpdesk aan accounts te komen. Door op naam van een ander de helpdesk te bellen en een verhaaltje op te hangen over broertjes die valse accountinformatie ingevoerd hebben, konden de 'hackers' de helpdeskmedewerkers overtuigen om deze informatie telefonisch door te geven. Door te blijven bellen naar de helpdesk krijgen de hackers steeds meer informatie los. ‘Wanneer je genoeg informatie hebt, kun je het wachtwoord laten resetten. Ondanks dat Microsoft claimt dat niet te doen, hebben wij kunnen bewijzen dat de werknemers bij Bungie.net zich daar niet aan houden’, aldus de clan.

Ondanks meerdere klachten van gebruikers over het verdwijnen van hun accounts, zegt Microsoft geen enkele aanwijzing te hebben gevonden dat de veiligheid van Xbox Live in gevaar is. Veiligheidsonderzoeker Kevin Finisterre bracht de problemen aan het licht toen hij op zijn website melding deed van een veiligheidsprobleem. Naast de tientallen gebruikers die hun beklag deden op het officiële Xbox-forum, vond Finisterre ook clans die openlijk toegaven accounts gestolen te hebben. Microsoft geeft wel toe dat de meeste gevallen van accountdiefstal door social-engineering veroorzaakt worden. ‘Slachtoffers worden overgehaald vertrouwelijke informatie te geven aan de daders’, aldus een woordvoerder. Het bedrijf gaat echter niet in op de claims van de Infamous-clan.

Reacties (40)

RM-rf 22 maart 2007 14:41

Tja, het is natuurlijk erg lastig te bewijzen dat het MS helpdesk medewerkers zouden zijn die vallen voor 'social engineering trucjes' ...
Zolang dat enkel gaat om 'hackers beweren' heb ik de neiging om te denken dat het evengoed mogelijk is dat ze die 'social engineering' trucjes net zo goed kunnen toepassen op 'clan- en internet-maatjes' ..

dan achteraf de MS-helpdesk de schuld geven kan ook gewoon een poging zijn erover 'op te scheppen'... geen enkele 'hacker' zal opscheppen over een gestolen passowrd dat ze hebben verkregen door een 'vrindje' dat zich een beetje verlulde ...

tenzij men werkelijk bandmateriaal heeft van hoe die helpdesk medewerkers dus hun eigen policy overtreden ... of er een betrouwbare bekentenis van de helpdesk medewerkers zelf die zoiets zouden erkennen, vind ik het nog niete cht een stevige onderbouwing van de beschuldiging.

PWM @RM-rf • 22 maart 2007 16:23

Bovendien hebben ze het over medewerkers van Bungie die gelekt hebben.

A: Bungie heeft geen support afdeling die gebeld kan worden
B: Ze hebben niets te maken met Gamertags

n4m3l355 @RM-rf • 22 maart 2007 18:56

Het probleem zit 'm erin dat het niet eens MS medewerkers zijn, MS outsourced zijn helldesk aan 3e en die nemen dit voor zich op. Daarom kan MS wel claimen dat dit niet gebeurd maar ze hebben hier absoluut zelf geen inzicht in.
Verder is het zo ondanks dat je (RM) vermoed dat helpdesk medewerkers niet zo behulpzaam zijn, helaas wel zo zijn. Ik kan me voordoen als jou bij jou isp of jou e-mail provider, en na lang genoeg te drammen zal menig helpdeskmedewerker blij zijn om van mij af te zijn na het geven van jou password. Aan de andere kant kan ik wel begrijpen dat ze zo behulpzaam zijn want als een klant daadwerkelijk problemen heeft is niets zo vervelend als een helpdeskmedewerker die zich aan het protocol houdt en weigert een voet te verzetten.

ironx 22 maart 2007 15:18

Blijft een grote hoax als je het mij vraagt.

En zoals ik om 10:15 al melde in Microsoft onderzoekt diefstal Xbox Live-accounts:

Despite some recent reports and speculation, I want to reassure all of our 6 million Xbox Live members that we have looked into the situation and found no evidence of any compromise of the security of the Xbox Live Network or Bungie.net. There have been a few isolated incidents where malicious users have been attempting to draw personal information from unsuspecting users and use it to gain access to their LIVE account. This is a good time to remind our members that they should never give out any of their personal information. Additionally it may be a good idea to download this free PDF file from Microsoft.com 'Help Protect Yourself Against Identity Theft’ that gives you some excellent information and tips on how to protect yourself.

Bron: Major Nelson (Xbox Live Team)

Zover ik kan bedenken wat er precies aan de hand is zijn de accounts die zijn 'gehacked' van mensen die op de een of andere manier gewoon hun login/pass hebben verstrekt (of wel heel simpele wachtwoorden hebben)...

Verwijderd @ironx • 22 maart 2007 18:32

Microsoft admitted, however, that most known cases of Xbox Live account theft are the result of social engineering, where criminals dupe victims into giving up confidential data...

..In response to Microsoft's statement, Finisterre quipped to vnunet.com that Microsoft was correct in blaming social engineering, but left out that it was the firm's employees who were targeted.

MAX3400 22 maart 2007 15:03

Vaag...

Want in NL moest ik tijdens een belletje namelijk 3 van de 7 prive-gegevens van mijn account/XB doorgeven voor ze me wilden helpen. Zelfs toen ik 2 van de 3 goed had doorgegeven en de 3e echt niet meer wist, mochten ze me niet helpen.

Daarna maar de US gebeld. En in de US hadden ze voldoende alleen aan mijn Gamertag. Zal me dus niks verbazen dat het alleen weer in Amerika kan/mag/gebeurt.

Qorne 22 maart 2007 21:07

Dit werkt dus heel vaak, had net 10min terug de ABN aan de telefoon, omdat ik al me gegevens van me CC kwijt was, nou telefonische hebben ze me alles gegeven

oke ze willen je postcode en je leeftijd hebben maar dat is dan ook alles. ze moeten dat soort dingen niet meer telefonisch gaan doorgeven, maar op een website oid zwaar beveiligd.

JaymzHetfield 22 maart 2007 14:40

Zijn het dan nog wel hackers? Of gewoon mannetjes met een vlotte babbel?

Yellow|A @JaymzHetfield • 22 maart 2007 14:43

Social Engineering is zo oud als de weg naar Rome. Je kan nog zo'n goede beveiliging hebben, maar als je klantenservice afdeling iets te behulpzaam is heb je al het geld voor niks uitgegeven.

schaduw @JaymzHetfield • 22 maart 2007 14:44

ik wou net zeggen, hackers hebben juist toch helemaal géén sociale vaardigheden?

buzzin @schaduw • 22 maart 2007 15:26

Een groot onderdeel van hacken is altijd al social enginering geweest hoor.
script kiddies zijn geen hackers, en een nerd is ook niet automatisch een hacker.

Vroeger gewoon als telefoon/computer helpdesk persoon bij een bedrijf naar binnen lopen en de mensen even voor je laten inloggen zodat je onderhoud kon doen....dat soort dingen.

Verwijderd @schaduw • 22 maart 2007 15:20

Jawel, ze hacken gewoon wat anders dan de code.

Tenshi818 @JaymzHetfield • 22 maart 2007 14:51

De gebruiker is altijd nog de grootse security risk

Waarom zou je moeilijk doen door de xbox/m$ servers te hacken als je ook gewoon kan bellen en om de gegevens kan vragen?

Social Engineering is waarschijnlijk een van de belangrijkste aspecten van het hacken.

JanW @Tenshi818 • 22 maart 2007 14:57

/me Willems mist de hele factor van al die mannetjes die Microsoft afkorten als M$..

sHiKoRa @JaymzHetfield • 22 maart 2007 15:45

Of gewoon mannetjes met een vlotte babbel?

Met andere woorden accountmanagers.

DaMarcus Admin Harde Waren / Consumentenelektronca @sHiKoRa • 22 maart 2007 19:26

Verkopers in een multi-mediazaak

bits @DaMarcus • 22 maart 2007 22:13

Verkopers in een multi-mediazaak

In de MediaMarkt/BCC

Even ontopic:
Misschien dat dit minder zou gebeuren als de prijzen voor sommige MS-dingen niet zo heel hoog waren... But some things might never change...

Puch-Maxi 22 maart 2007 14:45

Ik zeg Kevin Mitnick Dit is gewoon Social Engineering, ook een vorm van "Hacken" -Spuit 11

The - DDD @Puch-Maxi • 22 maart 2007 15:35

Mwoah... ik zou liever zeggen... DE vorm van hacken.

Zoals het op TV vaak getoond wordt met een kereltje achter een PC die binnenkomt bij bank X of overheid instantie Y komt zonder enige vorm van extra informatie nog maar zeer zelden voor. Je kan het zelf gewoon proberen. Loop een willekeurig bedrijf binnen en "act natural". Vind de kopieer hoek, daar staat vaak ook de papierbak. Veel plezier met graven. Als iemand vraagt wat je doet? Gewoon zeggen dat je er iets in gegooid hebt wat je eigenlijk had moeten vernietigen.

Als het bedrijf groot genoeg is en je komt niet net de verkeerde tegen, dan helpen mensen je vaak ook nog. Neem een stapel troep mee zodat je je armen vol hebt. mensen houden de deur zelfs voor je open. Echt lachwekend om een keer te doen. Let er wel op dat je wel een overtreding begaat als je zoiets doet. Als je ook nog spullen inziet of meeneemt wordt het alsmaar erger.

DaRk PoIsOn 22 maart 2007 14:43

Dus, microsoft claimt geen accountgegevens te verstrekken maar geeft wel toe dat de meeste accountdiefstallen via social-engeneering gaan

hiostu @DaRk PoIsOn • 22 maart 2007 14:49

Microsoft doelt erop dat gebruikers zelf via social engineering hun gegevens/wachtwoorden afgeven. Dit gebeurd vaak door zich voor te doen als een medewerkers van Microsoft of van een developer.

Dit gebeurt ook erg vaak in MMORPGs, in WoW wordt er bijvoorbeeld expliciet gemeld dat medwerkers nooit om gebruiker gegevens zullen vragen.

ERIKvanPAASSEN @hiostu • 22 maart 2007 14:56

In feite gewoon phishing... Hoe goed je je systemen ook beveiligt, dit probleem houd je altijd.

Gepetto @ERIKvanPAASSEN • 22 maart 2007 15:03

Phishing is toch echt iets anders dan het bellen van een helpdesk en zo informatie lospeuren.

911GT2 22 maart 2007 15:42

Wat ik nou nooit begrijp is waarom er dit soort lutsers rond lopen. Van die gasten die er een kick van krijgen om het plezier van een ander te vergallen, gewoon om aan te tonen dat het kan

Alles is te kraken dat weten we intussen, maar als je dat weet is het dus een kwestie van tijd, middelen en geld.

Het is niet zo dat je iets nieuws ontdekt, want dat het kan weten we allemaal. Ik vind het maar een waardeloze mentaliteit.

Gebruik je energie om belangrijkere dingen te doen

Inflatable @911GT2 • 22 maart 2007 16:26

Het heeft weinig met kraken te maken, meer met het misbruik maken van het goede vertrouwen van mensen.. Zolang er mensen zijn die anderen zoveel vertrouwen dat ze hun persoonlijke gegevens zoals logins en paswoorden etc vrijgeven helpt daar natuurlijk geen beveiliging tegen..

Social enginering, phishing, het is allemaal hetzelfde.. Mensen om de tuin leiden..

En ja, het is triest.. Gewoon crimineel zelfs..

Zyppora @911GT2 • 23 maart 2007 15:47

Als ze het nu ook deden 'om aan te tonen dat het kan', dan had ik er alle begrip voor. Security through obscurity en naiviteit zijn geen goede eigenschappen.

Het is jammer dat ze het doen voor eigen gewin.

Persoon A kraakt een XBox Live account, belt de rightful owner dattie um gekraakt heeft en geeft um weer terug, eventueel met tips om het 'de volgende keer niet meer te laten gebeuren'.

Persoon B kraakt een XBox Live account, en verkoopt um door.

Zie het verschil. Beide zijn fout, maar persoon A neem ik niets kwalijk (sterker nog, persoon A zou ik dankbaar zijn, mocht het mijn theoretische account zijn).

DeTeraarist 22 maart 2007 14:57

Tsja, dit is op zowat iedere helpdesk wel mogelijk.
Heb jij een klein beetje informatie over een persoon, dan kun je op eenvoudige wijze veel meer over die persoon te weten te komen. Vaak heb je aan een postcode en een huisnummer al genoeg om gegevens op te vragen.

Aghilas 22 maart 2007 19:22

Misschien wordt die helpdesk wel gepatcht bij de eerstvolgende Patch Tuesday.

Op dit item kan niet meer gereageerd worden.

'Xbox Live-hackers misbruiken Microsoft-helpdesk'

Lees meer

Reacties (40)

Sorteer op:

Weergave: