Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 29 reacties

Xbox Live, het online gamenetwerk van Microsoft, is volgens diverse bronnen gekraakt. Met name spelers van Halo 2 lopen het gevaar om hun account en hun creditcardgegevens kwijt te raken. Microsoft onderzoekt de zaak.

Xbox 360 met kogelgaten Kevin Finisterre, beveiligingsexpert van Digital Munition, zette dit weekend zijn bevindingen op de Full Disclosure-mailing list. Volgens hem is er een groep kwaadwillende hackers actief, die zichzelf 'Infamous Clan' noemt en die in staat is om 'GamerTags' - zoals Microsoft de Xbox Live-accounts betitelt - over te nemen. Op hun website claimt deze groep een zevental accounts te hebben overgenomen, voornamelijk omdat het gedrag van de eigenaren ze niet aanstond. Dat zou echter slechts het topje van de ijsberg zijn: er zijn heel wat meer klachten van Xbox-gebruikers die zeggen bestolen te zijn. De berichten zijn in sommige gevallen al enkele weken oud, maar de softwaregigant nam ze klaarblijkelijk pas serieus na de publicatie van Finisterre, die ook zelf slachtoffer van diefstal werd. Hoe de dieven precies te werk gaan is niet bekend: er is onder andere sprake van social engineering en phishing, maar de kans dat een expert als Finisterre daar slachtoffer van wordt is niet erg groot en met een technisch lek moet dan ook serieus rekening gehouden worden.

Een helpdeskmedewerker van Microsoft beweerde tegenover de security-onderzoeker in eerste instantie dat de problemen zijn te herleiden tot het netwerk van Halo 2-ontwikkelaar Bungie; maar in een eerste officiële verklaring ontkende het bedrijf dat er problemen zijn: 'Bungie.net is niet gehackt en er zijn geen Xbox Live-accounts gestolen. Alle berichten die het tegendeel beweren zijn onjuist.' Deze opstelling is 'meer dan een beetje nalatig', vond Finisterre, en inmiddels heeft Microsoft laten weten dat het de berichten serieus neemt: 'Beveiliging is een topprioriteit voor het Xbox Live-netwerk, en alle meldingen van frauduleus gebruik of diefstal worden onderzocht', aldus een woordvoerder. Hoewel het verlies van een Live-account vervelend is, zijn het met name de creditcardgegevens die de Xbox-maker zorgen zullen baren. Wie een GamerTag bemachtigt, kan namelijk op rekening van de rechtmatige eigenaar bij Microsoft winkelen. In minstens één geval was al sprake van een schadepost van achthonderd dollar.

Lees meer over

Gerelateerde content

Alle gerelateerde content (26)
Moderatie-faq Wijzig weergave

Reacties (29)

In een wereld waar mensen hun bank gegevens naar een website in Nigeria sturen, verbaast mij niets meer.

Wat je nodig hebt om op een Live Account te komen, is toegang tot de e-mail van die persoon. Met bijvoorbeeld de Username en Pasword van een hotmail account wat gekoppeld is aan Xbox Live, kan je die account ook registreren op een andere Xbox.

Dat een zelfbenoemde "Security Expert" (is daar een opleiding voor?) er in is getrapt, zegt niets.

Er zijn ook hoogleraren en professoren in Nigeriaanse Scams getrapt met honderduizenden dollars. Functie of Inteligentie zegt niets over de kans om in een Scam/Phising methode te trappen.
Er van uit gaan dat er niets mis is met de dienst van microsoft en de geloofwaardigheid van Finisterre in twijfel trekken is mijns inziens wel nét ietsje te gemakkelijk.

Om een klein voorbeeldje te geven: op de msn (nu live) diensten site staat altijd "alle diensten werken zonder problemen" zelfs als de helft van het netwerk plat ligt. Microsoft heeft dan ook geen enkele incentive om dergelijke beschuldigingen toe te geven, zelfs niet als ze waar zijn. Dit doen ze pas als er een storm ontstaat en het misbruik zwart op wit bewezen wordt.

Ik zou in dit geval toch wel willen wijzen op het feit dat er meer en meer mensen hetzelfde verhaal vertellen en een beveiligingsexpert misschien niet onfeilbaar is maar toch wel veel moeilijker om de tuin te leiden dan de eerste beste 'noob'.

Ik vraag me trouwens af, als je als beveiligingsexpert social engineered wordt en ze gaan met je account lopen, ga je dan je hele beroepsvertrouwen voor grabbel gooien en dit van de daken schreeuwen? Als nu blijkt dat het zijn eigen fout is, is zijn carriere voorbij, wie gaat dit risico nemen als er niet echt iets aan de hand is? Ik snap daarom niet waarom je vooral het verhaal van microsoft gelooft (of wilt geloven).
Het verhaal wordt imho nog ongeloofwaardiger :)

Het was niet het account van Finister zelf, het was het account van zijn vriendin:
"Literally the next day my girl's account was locked out," Finisterre wrote in an e-mail Tuesday. "I received a message on my Xbox that said: 'We are sorry we must log you out of Xbox Live because someone else is using your Gamertag.'" The account was banned. "
Of zou zij ook Security Expert zijn :P

Overigens, is dit 1 van de aangehaald bronnen in het artikel. Mag jij aangeven hoe betrouwbaar je dit vind:

http://forums.xbox.com/10259201/ShowPost.aspx
Ik snap daarom niet waarom je vooral het verhaal van microsoft gelooft.
Omdat het verhaal meer rammelt dan een oude Trabant.
http://www.digitalmunition.com/StolenUpdate.txt
http://news.zdnet.com/2100-1009_22-6169060.html

Ik ben het er mee eens dat het een vage situatie is maar de lijst van forumposts op zowel xbox.com als op bungie lijken me toch iets meer dan "vaag". Ik geloof niet per se dat het echt gelukt is om xbox live accounts te hacken, maar om er zomaar van uit te gaan dat dat niet het geval lijkt me nogal vooringenomen. Vooral als je weet dat microsoft in duizenden soortgelijke gevallen verzwijgt totdat er een storm ontstaat. Zie maar naar de beveiligingslekken die soms maanden gemeld worden maar ongepatched blijven totdat er een nieuwssite op springt.

In die optiek vind ik het verstandiger even aan de bel te hangen om tenminste een reactie van microsoft (en een opvolging van het potentieel probleem) te krijgen ipv niets te doen totdat het weer eens te laat is. Daarom dat ik niet echt snap waarom je dit niet zou onderzoeken of op zijn minst het verhaal als potentieel waar houden totdat er helderheid is. Op je gat blijven zitten en er van uit gaan dat het allemaal wel uit de duim gezogen zal zijn is passief en met die houding zal er altijd te laat gereageerd worden.
Mag ik je er ook op wijzen dat dit het internet is.. Mensen vertellen zoveel.. Er hoeft maar 1 iemand een lulverhaal op te hangen dat z'n Xbox Live account gestolen is en de volgende dag staat overal op internet dat de beveiliging van Xbox Live "gekraakt" is..

Nu zeg ik niet dat dit ook een lulverhaal is, maar ik ga er ook niet zomaar vanuit dat het wel waar is.. De aantallen waar het hier over gaat, zogenaamd 7 mensen, en minstens 1 met een schadepost van 800 dollar vind ik allemaal een beetje vaag.. En dan laat ik alle grappenmakers of anti-MS fanboys die gaan roepen dat het hun ook is overkomen maar even buiten beschouwing..

Ik zou ook echt niet weten hoe een netwerk voor een game als Halo2 wat volgens mij alleen maar bestaat uit dedicated gameservers en wat ranking servers kan leiden tot gamertag of creditkaart diefstal.. Beetje vaag allemaal..

Ik gebruik zelf ook Xbox Live, en wil natuurlijk wel weten wat er nou allemaal precies waar is van dit verhaal, maar ik zal Xbox Live er geen minuut minder om gaan gebruiken ofzo.. Net zoals ik ook andere dingen zal blijven kopen online ondanks alle verhalen over diefstal en oplichting op internet.. Ik laat me niet zo snel bangmaken..

Maargoed, als dit wel waar is, wil ik dus wel eens weten hoe die "clan" dan aan de inloggevens van die mensen is gekomen, want je hebt dus een e-mailadres + pw nodig om iemand z'n account te kunnen gebruiken.. Fishing?
Wat mij nog het meest opvalt aan dit hele verhaal is dat het toevallig vlak voor de europese launch van de PS3 naar buiten komt. Bovendien heeft iedereen het over wat Microsoft heeft gezegd, maar nergens is er een link naar een officiele persverklaring. Het lijkt mij nog het meest waarschijnlijk dat deze meneer probeert om Microsoft in een kwaad daglicht te stellen, of zich bij Sony in wil likken, hoe dan ook, de timing is ronduit verdacht nabij de launch date van de PS3 in europa. Want ja, als niemand meer van het 'onbetrouwbare' Live gebruik wil maken, waar o waar gaan ze dan naartoe? :+
Om een klein voorbeeldje te geven: op de msn (nu live) diensten site staat altijd "alle diensten werken zonder problemen" zelfs als de helft van het netwerk plat ligt. Microsoft heeft dan ook geen enkele incentive om dergelijke beschuldigingen toe te geven, zelfs niet als ze waar zijn. Dit doen ze pas als er een storm ontstaat en het misbruik zwart op wit bewezen wordt.
Dat is altijd al zo geweest, al lag vroeger het hele network onderuit dan stond dat er nog.
Hier een goed voorbeeld van hoe dit soort dingen werken:

Fok Games heeft het bericht overgenomen:

http://games.fok.nl/news.php?newsid=16855

Fok basseert zich puur op dit Tweakers bericht. En wat lees je dan?
Als er ter waarde van 800 dollar bij Microsoft wordt geshopt, op jouw rekening, maar niet door jou ben je aardig zuur. Het overkwam een van de tientallen mensen wiens Xbox Live-account werd gehacked.
Het aantal is inmiddels "enkele tientallen".
M.a.w. We zijn van 8 concrete gevallen, gegaan naar enkele tientallen.

Morgen neemt Nu.nl dit bericht over, en zijn het er enkele honderden. Zaterdag in de Telegraaf zijn er hele families bankroet gegaan.

Dit is nou het leuke van internet. Er is waarschijnlijk niets aan de hand, maar het oorspronkelijke bericht is al compleet uit zijn verband gerukt.

Er zijn een paar gevallen bekend, en confirmed. Echter, iedereen die nu blaat op een anoniem forum dat hij er ook last van heeft, wordt er bij opgeteld. En zo komen we tot mooie koppen :z
Boh dat zagen we bij PS3 verhalen ook en toen klaagde er eigenlijk niemand over.

Maar idd dergelijke zaken worden heel vaak uit verband getrokken.
Klaagde niemand erover? Als er iets verkeerds over de PS3 wordt gezegd, reageren ook genoeg mensen om de boel te relativeren :)
Met name spelers van Halo 2 lopen het gevaar om hun account en hun creditcardgegevens kwijt te raken.
Account kwijtraken, ok, dat kan gebeuren. Maar waarom zijn er creditcard gegevens gekoppeld aan dat account? Dat het creditcard systeem zo lek is als een mandje is al heel lang bekend. Waarom de domme fout maken om die informatie ergens op te slaan. Als het voor administratieve redenen is voor de eindgebruiker dan is het genoeg om alleen de laatste 4 cijfers van de creditcard te weten. De rest mag vernietigd worden. Natuurlijk moet je dan elke keer je creditcard nummer invoeren. Maar het is niet alsof je dat elke dag moet doen.
Het is ook onzin.

Wat de vertaler bedoeld is dit:

Je kan je CC registreren op Live. Daardoor kan je kleine dingen kopen, zoals extra levels e.d. Blijkbaar hebben mensen die inhebben gelogd op een ander account dat gedaan.

Het CC nummer is niet op Live in te zien, op (inderdaad) de laatste 4 cijfers na.
Neemt niet weg dat iemand met een gestolen Live-account, daarmee op Xbox Live kan inloggen en even voor een paarhonderd euro aan credits aanschaffen. (Xbox Live gebruikt een eigen credits-systeem, waarmee je downloadable content aan kunt schaffen.)

Ik denk dat dat de geleden schade uit het artikel is.
Ik vertrouw zowiezo geen creditcard gegevens die gekoppeld zijn aan je e-mail. Tis veel handiger om die abonnementen via een winkel aan te schaffen (3 maanden, 12 maanden kaart).
Handiger is het niet. Ik wil niet de Xbox aanzetten, zien dat mijn account verlopen is of m'n credits opzijn, eerst naar de winkel moeten om zo'n kaart te halen, openkrassen, 40 letters invoeren met een controller, voordat ik kan spelen.

Veiliger: dat wel.
Er zijn ook nog andere mogelijkheden dan CC alleen weet ik niet of dit met Live ook kan. Zo kan je bij WoW nu gebruik maken van automatische incasso zodat je geen kaartje hoeft te halen. Als je het zo vervelend vindt om naar de winkel te gaan om zo'n kaartje te kopen dan koop je er toch twee tegelijk? "Oooo tweede kaartje activeren, morgen gelijk even nieuwe halen voor de volgende keer." Zo loop je jezelf eigenlijk al voor!

Ik hou totaal niet van CC, als ze je CC nummer weten kan je al problemen krijgen en er hang nog kosten aan ook om je CC te gebruiken. Doe mij maar lekker een prepaid kaartje voor WoW of voor Live (als ik het had) dan vindt ik het prima!
Ik weet niet of jullie het laatste nieuwd hebben gehoord, maar interpay's betalingssysteem is gekraakt..
Ja ik ga mijn abn amro pas + pincode aan een zwerfer op straat zodat hij een fiets voor mij kon kopen die ik dan weer goedkoop kon overnemen van hem.. En nu ben ik ineens 3000 euro kwijt. Echt raar dat dit zomaar kan met dit superonveilige systeem. Ik denk dat ik voortaan maar geen bankpas meer gebruik...

:Z :? |:(
Hm wat houdt dit precies in?
Want mijn CC zit ook in het systeem.. Is het veilig als ik voorlopig die even niet meer gebruik? Of ben ik nu ook al kwetsbaar?
en als het goed is kan je je CC toch door te bellen uit het systeem laten verwijderen?
Ja dan moet je even naar 0900-nigeria bellen en je naam, cc nummer en expiredate doorgeven...
Xbox Live, het online gamenetwerk van Microsoft, is volgens diverse bronnen gekraakt.
Beetje misleidende tekst imo...

Als ik het artikel zo rustig nalees gaat het om enkele accounts die zijn gekraakt (gewoon login + password), en niet het gehele netwerk.
Nou dit zijn wel hele goede dieven. Ik heb is de redenen gelezen van de 7 mensen waarom ze bestolen zijn (waarvan in ieder geval 2 mensen 2maal bestolen zijn :9), en kwam tot de conclusie dat je geen foute dingen tegen 1 van hun members moet zeggen en niet moet vloeken want dan ben je de l*l.

Leuk detail is dat ze alvast een lijstje van 30 bestolen mensen hebben gemaakt waarvan er pas 7 gevuld zijn.

Maar als je het dus moet geloven is Finisterre (of zijn vriendin) in contact geweest met deze opscheppers die op het forum roepen: ik ben de beste hacker die ooit geleefd heeft e.d.
Hier een video hoe die hackers te werk gaan:
http://www.youtube.com/watch?v=1QdG_xwkPH4

Tevens was dit bericht al veel eerder te lezen op bijvoorbeeld security.nl (zondag 18 maart).
Het gerucht dat Bungie.net gehackt is en dat een gedeelte van Xbox Live door hackers is overgenomen, is inmiddels door Microsoft bevestigd.

"Hackers hebben de controle over Xbox Live en er is niets dat we kunnen doen", aldus een Microsoft medewerker tegenover de bekende Luxemburgse beveiligingsonderzoeker Kevin Finisterre. Volgens Finisterre is het tijdens de gesprekken die hij met Xbox Live support had duidelijk geworden dat Microsoft meer dan nalatig is als het gaat om de mogelijke diefstal van persoonlijke informatie.
Wat is precies een gestolen account? Als het een username/pass combo, kan het dan niet zo zijn dat de betreffende mensen hun gegevens zelf hebben gedeeld met iemand die ze vertrouwen (bijv. Finisterre met zijn vriendin) om zo met 2 xboxen gebruik te kunnen maken van 1 betaalde account?
Ik doe maar een gok, weet helemaal niet hoe het werkt ofzo.. }:O
Toevaaaaaalllliiiiiig 2 dagen voor de PS3 release :Z

Maar zou het misschien mogelijk zijn dat dit het eerste teken is van een console-trojan?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True