Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 55 reacties

Xbox 360-fabrikant Microsoft gaat de via een exploit gestolen Xbox Live-codes onbruikbaar maken. Dit laat het bedrijf in een reactie aan Kotaku weten. Microsoft overweegt ook verdere sancties tegen misbruikers van het inmiddels gedichte lek.

Eerder deze week werd bekend dat hackers een algoritme gebruikten om via bepaalde gebruikte Xbox Live-codes nieuwe codes voor de Xbox-site te creëren. Volgens website Save And Quit was er ook een programma in omloop dat het benodigde werk voor de exploit automatiseerde. Het lek gaf gebruikers gratis toegang tot 160 Microsoft-punten, een Halo: Reach-Avatar-voorwerp of een kaart voor 48 uur lang Xbox Live Gold.

Microsoft ontdekte de problemen binnen een paar uur, maar toen was al een 'substantiële hoeveelheid' codes gegenereerd, zo schrijft Kotaku. "We zijn op de hoogte van de situatie en hebben stappen ondernomen om de onrechtmatig verkregen codes onbruikbaar te maken", aldus de Xbox 360-fabrikant. Microsoft geeft ook aan dat het de gegevens van de onrechtmatig genegereerde codes kan achterhalen. Op basis van deze gegevens concludeert het bedrijf dat de eerder gemelde schade van 1,2 miljoen dollar overdreven is. Een ander bedrag wil Microsoft echter niet noemen.

Moderatie-faq Wijzig weergave

Reacties (55)

Ik ben benieuwd wat de sancties zijn. Zal dit bij een waarschuwing/ban blijven, of krijgen we juridische acties?
Microsoft zelf kan uiteraard gaan bannen en - afhankelijk van in welk land de gebruiker van het lek zit - kiezen voor een civiele rechtszaak.

In Nederland zou dit wegens onrechtmatige daad (6:162 B.W.) zijn, of wellicht - ik weet niet wat voor overeenkomst tussen MS en de gebruiker gesloten is - wegens wanprestatie.

In Nederland is sinds de Runescape-uitspraak http://jure.nl/bk2773 diefstal van digitale goederen ook als "gewone" diefstal te zien. Voorheen was diefstal van electriciteit ook al als diefstal betiteld (net na WOII is het electriciteitsdiefstal-arrest van de Hoge Raad gewezen).

De Nederlandse strafwetgeving noemt diefstal het wegnemen van een "goed". Door de genoemde uitspraken zijn niet tastbare zaken als electriciteit en digitale bezittingen ook als een "goed" te zien.

In Nederland zou dus ook strafrechtelijke aangifte en vervolging mogelijk zijn.
Microsoft kennende zal het wel een levenslange ban voor Xbox Live betekenen voor degenen die dit ge/misbruikt hebben, maar als ze een beetje sportief zijn maken ze alleen de gemaakte transacties ongedaan, en laten ze het verder zoals het was.

[Reactie gewijzigd door Schumaster op 11 maart 2011 09:25]

Inderdaad, laten we het hopen dat ze een beetje sportief zijn...

Dit is ook niet het werk van hackers, maar van mensen die goed zijn in cryptography. Of de microsoft afdeling is daar deze keer slecht in geweest.

Ik begrijp ook wel dat het illegaal is om onrechtmatig verkregen codes te gebruiken, maar vaak zijn sancties tegen mensen die deze codes gebruiken weer een vorm van de gevolgen aanpakken en niet de oorzaak.
Prima, als jij bewust codes gebruikt welke onrechtmatig zijn vekregen, dan heb ik er geen problemen mee dat de 'gevolgen' worden aangepakt. Daarbij uiteraard wel zeggende dat MS de bron uiteraard 100 maal strenger aan moet pakken. Het hoort eigenlijk niets uit te maken of dit nu om een gestolen fiets van €1000,- gaat of een xbox code van €2,50... gestolen is gestolen, bewust gekocht is medeplichtig en strafbaar. Laten we hopen dat MS juist daar heeeeeeel rechtlijnig in zal zijn.
De bron doet alleen een algoritme uit de doeken. Die vertelt dus een verhaal.
Ik mag toch hopen dat het niet illegaal wordt om uit te leggen hoe een (slecht gekozen) algoritme werkt.
Ik neem aan dat MicGlou met 'de bron' hier de slechte beveiliging/slecht algoritme van MS wordt bedoelt...
Ah dus MS moet zichzelf gaan aanpakken... en wel honderd keer zwaarder dan de overtreders die het systeem misbruikt hebben :?
Klinkt misschien krom, maar ja :). Maar dan wel in de vorm van dat ze de volgende keer een stuk beter hun best moeten doen.

Een "slecht" encryptie algoritme in dit geval vindt ik vergelijkbaar met een bank die de sleutel van de kluis aan zijn klanten geeft. Er zullen uiteindelijk wel mensen zijn die hier misbruik van maken, zij zijn dan natuurlijk strafbaar (maar dat is even niet het punt dat ik probeer te maken).

Een groot IT bedrijf als Microsoft zou een voorbeeld moeten vormen voor een goede kwaliteit van software en daarmee indirect algoritmes. De key(s) die ze produceerden waren blijkbaar zo slecht geproduceerd dat mensen hieruit het algoritme konden reverse engineeren. Natuurlijk proberen mensen dit uit.

Ik wilde ook niet zeggen dat de overtreders niet aangepakt zouden moeten worden, maar Microsoft moet zelf zeker ook maatregelen nemen. Ik beschouw ook de volgende keer dat dit gebeurt bij Microsoft het als een vorm van "entrapment" en dat is strafbaar.

[Reactie gewijzigd door lauwie0 op 11 maart 2011 16:36]

Ik gok op het laatste. Ze kunnen er niet blind vanuit gaan dat alle ingevoerde codes zijn opgevoerd door mensen die aktief met de exploit bezig zijn geweest.
Wel als dat in het eerst uur gebeurt.
Als het langer duurt kun je situatie krijgen waarbij codes doorgegeven worden aan gebruikers die van niks weten maar juist in het begin zullen het vaak mensen zijn die heel goed beseffen dat de codes illegaal zijn aangemaakt.
" maar als ze een beetje sportief zijn maken ze alleen de gemaakte transacties ongedaan, en laten ze het verder zoals het was."

Nee, helemaal niet, als ze een beetje sportief zijn IP-MAC adress ban je die mensen permanent.
Dit lijkt mij een heel terechte opmerking.

Waarom zouden enkel de gemaakte transacties ongedaan moeten worden gemaakt?
De gewone gebruiker, die wčl voor transacties betalingen moet verrichten, is benadeeld doordat anderen bepaalde voordelen hadden.

Wat mij betreft is het niet meer dan logisch dan dat er dus meer gedaan gaat worden tegen de misbruikers.

Alleen al om de betalende gebruikers te laten zien dat een en ander serieus wordt genomen, om misbruik in de toekomst te voorkomen (de zogenaamde preventieve werking) en om je platform op die manier te beschermen.
Waarom zouden enkel de gemaakte transacties ongedaan moeten worden gemaakt?
De gewone gebruiker, die wčl voor transacties betalingen moet verrichten, is benadeeld doordat anderen bepaalde voordelen hadden.
Dan stel ik voor dat MS de benadeelden compenseert :)
Wat mij betreft is het niet meer dan logisch dan dat er dus meer gedaan gaat worden tegen de misbruikers.

Alleen al om de betalende gebruikers te laten zien dat een en ander serieus wordt genomen, om misbruik in de toekomst te voorkomen (de zogenaamde preventieve werking) en om je platform op die manier te beschermen.
Voorkomen is beter dan genezen. Als je je platform wil beschermen is het misschien wel een goed idee om je directe bron van inkomsten voor dat platform goed in elkaar te steken.
Mensen hebben gewoon fraude gepleegd met een waarde middel. Tbh zou ik het niet heel gek vinden als mensen worden aangeklaagd. Hoe ontzettend naief kun je trouwens zijn om zo'n code te genereren en te gebruiken. Ze hadden dit ook wel kunnen bedenken, je genereert een code en die redeem je met je XBL profiel, daarna ziet MS dat er nooit geld ontvangen is voor die code... MS weet wie je bent, alles wat je er mee kocht wordt sowieso ongedaan gemaakt en je bent mogelijk ook nog de sjaak.

Idioten!
Waar hebben ze fraude gepleegd? Vereist fraude niet een handtekening?

"Hee een mailtje met een link er in.. mmm.. *klik*"

En pats! fraude!

Is een beetje kort door de bocht vind je ook niet?
Waar hebben ze fraude gepleegd? Vereist fraude niet een handtekening?
Fraude is bedrog plegen door vervalsing van administratie. Waar de eis voor een handtekening vandaan komt is me een raadsel - creatief boekhouden is ook fraude, en vereist ook geen handtekening. Met een gehackte OV chipkaart reizen is in principe ook fraude.

[Reactie gewijzigd door .oisyn op 11 maart 2011 10:27]

Vereist fraude niet een handtekening?
Nee.

Mag ik anders jouw creditcardnummer (met vervaldatum en cvc-code)? Je handtekening heb ik niet nodig. Ik beloof niet te zullen frauderen. :+
Volgens mij geldt de combinatie van gegevens die je nu noemt als handtekening. Dus niet het letterlijke woord handtekening maar de juridische. Zoals ook je digid geldt als handtekening. Ook hierboven: Je boekhouding wordt dus wel degelijk ondertekend. Als je gewoon op een blaadje wat niet kloppende getallen opschrijft is het geen fraude. Pas als je die getallen in de vorm van een boekhouding ondertekend en wel inlevert bij de belastingdienst wordt het fraude.

Ik hoor nog geen echt steekhoudende argumenten die mijn vraag beantwoorden. Een relevante juridische quote met bron en ik ben om maar gewoon 'nee hoor echt niet' ga ik niet voor. Ik blijf er voorlopig bij dat op een link klikken geen fraude is.
Als de gebruikers die hier misbruik van hebben gemaakt sportief zijn, dan accepteren ze gewoon de eventuele consequenties.
Sportief? Wat heeft dat er nou weer mee te maken? Jij vindt dit soort gedrag normaal?

[Reactie gewijzigd door foppe-jan op 11 maart 2011 09:29]

Ik vind dit misbruik niet normaal.

Echter blijf ik het interessant vinden wat de rechter zou zeggen over dit vermeende misbruik. Ik zou jou namelijk een gemanipuleerde link kunnen sturen waardoor jij, alleen door er op te klikken een overtreding zou begaan... beetje dubieus toch? Op een link klikken hoort veilig te zijn. Dit wordt ook door de HTTP standaard beschreven:
9.1.1 Safe Methods

Implementors should be aware that the software represents the user in their interactions over the Internet, and should be careful to allow the user to be aware of any actions they might take which may have an unexpected significance to themselves or others.

In particular, the convention has been established that the GET and HEAD methods SHOULD NOT have the significance of taking an action other than retrieval. These methods ought to be considered "safe". This allows user agents to represent other methods, such as POST, PUT and DELETE, in a special way, so that the user is made aware of the fact that a possibly unsafe action is being requested.

Naturally, it is not possible to ensure that the server does not generate side-effects as a result of performing a GET request; in fact, some dynamic resources consider that a feature. The important distinction here is that the user did not request the side-effects, so therefore cannot be held accountable for them.
Bron: W3C - HTTP RFC 2616

De HTTP standaard zegt expliciet dat gebruikers niet aansprakelijk gesteld kunnen worden voor eventuele bij effecten van een GET request (opvragen van een link). Ik kan me voorstellen dat een rechter dit zwaar laat wegen. Als microsoft de standaard aan zijn laars lapt kan het niet zomaar naar de gebruikers wijzen.

Dat gezegd hebbende is er natuurlijk wel een verschil tussen eens op een link klikken en aan de lopende band misbruik maken van zoiets. Maar naar mijn mening is er echt wel een grijs gebied hier.
Sportief dekt het misschien niet helemaal (immers geen sport klas), maar denk nou even zelf na over wat er bedoelt wordt, zo moeilijk is het niet.

Mocht het toch een beetje lastig zijn, hier een klein voorbeeldje; stel, ik versier de vriendin van een vriend van mij, zijn reactie is dan;
A: pissed worden, een week niet meer met me spreken en mogelijk een enigszins lullige grap met me uithalen
B: mijn auto in de fik steken, mijn nieuws verworven vriendin publiekelijk de grond in te boren en vervolgens alle vrouwen **** noemen (kies zelf maar iets voor de sterretjes)

gelieve de "sportieve" uit te kiezen... gelieve dat nu even door te trekken naar Microsoft; het multi-multi-bulti-multi- miljarden bedrijf dat faalt in het beveiligen van een simpele URL en vervolgens van een paar ton wordt beroofd door fanatieke spelers.

Wat doe je dan als bedrijf? Waarschuwen en geld terug claimen, of ga je ze aanklagen/een nieuwe console laten kopen?
Sportief dekt het misschien niet helemaal (immers geen sport klas), maar denk nou even zelf na over wat er bedoelt wordt, zo moeilijk is het niet.

Mocht het toch een beetje lastig zijn, hier een klein voorbeeldje; stel, ik versier de vriendin van een vriend van mij, zijn reactie is dan;
A: pissed worden, een week niet meer met me spreken en mogelijk een enigszins lullige grap met me uithalen
B: mijn auto in de fik steken, mijn nieuws verworven vriendin publiekelijk de grond in te boren en vervolgens alle vrouwen **** noemen (kies zelf maar iets voor de sterretjes)
Dat het maatschappelijk gezien niet helemaal in de haak is wat je doet, betekent nog niet dat jouw vriend dan maar een misdrijf mag begaan. Zo ook met MS: het onvoldoende beveiligen van die website kunnen ze de 'gebruikers' niet aanrekenen.
Wat doe je dan als bedrijf? Waarschuwen en geld terug claimen, of ga je ze aanklagen/een nieuwe console laten kopen?
Waarschuwen: *shrugs*
Geld terug claimen: welk geld? Er zijn alleen gametijd/virtuele goederen gedupliceerd.
Aanklagen: good luck. Wie ga je aanklagen en met welke aanklacht?
Nieuwe console laten kopen: eentje van Nintendo of Sony dan toch.
Ik hoop dat microsoft ze flink ga straffen... Net zoals Sony doet... Afkappen met die handel :)

Ik vindt daarom ook de meeste hackers on-intelligente mensen die er bestaan.. ga leven krijgen..

Als je iets hacked om beveiliigings issues op te lossen ok, maar misbruik er van maken is gewoon zwak.. ze trekken altijd aan het kortste eindje.. alleen weten dat pas telaat of niet |:(
jij hebt nog nooit muziek of films illegaal gedownload? vast wel, dat kunt je ook gewoon in winkels kopen!!!
Er zit nog een klein subtiel verschil in illegaal downloaden en het illegaal verkrijgen van digitaal geld. Dit is eigenlijk vals geld maken en vervolgens spullen mee kopen. Microsoft moet immers wel geld betalen aan de developers/uitgevers waarvan de spellen/spullen gekocht worden met dit illegaal verkregen virtuele geld.

Stel je koopt een spel van 800ms punten, dat is ongeveer 10 euro waard. Van die 10 euro moet Microsoft 7 euro betalen aan de ontwikkelaar. Microsoft verliest dus ook echt 7 euro.

Bij downloaden missen ze inkomsten, maar er verlies niemand ook daadwerkelijk geld.
Wat is het verschil dan met die producent die inkomsten mist doordat er geen muziek gekocht wordt?
Je kent toch het gezegde: beter verliezen dan dat je het nooit hebt gehad.

Met alle respect (en ja: ook ik heb muziek en nog veel mee gedownload) het argument dat jij aanhaalt vind ik onzin, zeker als je kijkt naar het kapitaal dat M$ bezit. Want die paar $ die ze hieraan kwijt zijn is voor M$ een lachertje.
@Peatsmoke
Wat jij zegt is nog veel erger eigenlijk. Jij zegt dus dat het minder erg is van iemand te stelen die veel geld heeft dan van iemand die minder geld heeft...

Ik geeft overigens geen waarde oordeel over wat slechter/erger is en wat niet. Jij legt die woorden in mijn mond. Ik geeft alleen wel aan dat er een subtiel verschil in zit.

Stel je de volgende situatie voor:

Jij bent producent van een film en een consument heeft 10 euro te besteden. Hij besluit niet jouw film te kopen en voor 10 euro een andere te kopen. Dat is anders dan dat hij niet je product koopt, maar besluit om via een tegoedbon die nep is de film te kopen. De producent heeft en geen 10 euro, maar moet vervolgens nog wel 5 euro afstaan aan de schrijver/acteurs/regisseur voor iedere verkochte film. Formeel is het namelijk een verkoop geweest van de film. In de eerste situatie heb je 0 euro extra, maar in de tweede situatie verlies je 5 euro.

Het is een heel ander verhaal als de persoon de film in eerste instantie al wel had gekocht, maar dat is nooit met zekerheid te zeggen.

En het gezegde wat je hier overigens aanhaalt slaat niet op geld, maar dat gaat over mooie herinneringen of liefde...

[Reactie gewijzigd door hiostu op 11 maart 2011 12:59]

Hacker/cracker verschil? Doe eerst eens wat opzoekwerk voor ge hoog van uwen toren blaast.
Doe niet zo moeilijk,.. het is duidelijk dat hij het over crackers heeft. Wat mij betreft hard aanpakken die gasten.
Ehm ik koop mijn codes altijd via een website wordt per email verstuurd omdat het toch flink goedkoper is . ik kan als eind gebruiker het verschil niet weten he he:P
Het verschil kom je wel achter. Als na een maand je account gebanned is weet je dat eht een frauduleuze code was.
Ik vindt daarom ook de meeste hackers on-intelligente mensen die er bestaan.. ga leven krijgen..
Integendeel, ze zijn intelligent genoeg om een hack te vinden. Dat jij dat immoreel vind staat daar volledig los van.

En afkappen gaat natuurlijk ook maar zo ver. Je bent gewoon userbase aan het afsnijden op dat moment, die ervoor kan kiezen zijn geld bij de concurrent neer te leggen. Ja, de gewonnen tijd/items kunnen ze weer intrekken, maar mensen zonder meer af te sluiten van een service omdat je zelf je zaakjes niet op orde hebt is m.i. buitensporig.

Ik zie het als een soort promotie-actie. Nu tijdelijk gratis te proberen: legendary item X.
Ik denk gewoon dat je gekochte items ten waarde van zoveel punten ingetrokken woord. Dat Halo Reach voorwerp word ook ingetrokken en je live is ook direct ingetrokken.
ik denk altijd dat je toch behoorlijk naief moet zijn wil je misbruik gaan maken van dit soort codes, ze zitten gewoon aan je account gekoppeld dus ze kunnen misbruik zo simpel achterhalen.. maargoed de gemiddelde gamer die zijn console mod is vaak ook niet de meest intelligentste...
Ik vind die code's maar war karige waarde hebben, als het nou een jaar XBL was of de 1200 MS points, maar het is echt zo laag van waarde daar zou ik het niet eens de moeite voor doen.
je vult 10 codes in voor 160 points en je hebt 1600 points, dus een kleine waarde is het niet echt als veel gebruikers dit doen, vele kleine maken 1 groot. Daarbij is het op dat moment nog niks waard, het krijgt pas een waarde als je iets aankoopt, daar Microsoft dan de points omzet in geld voor de ontwikkelaars.
Ze krijgen geen geld voor uw codes, maar moeten wel geld betalen voor uw aankopen. Dat zorgt dat het dus daadwerkelijk diefstal is en niet langer onder de term illegaal downloaden valt. Het is dus eerder vergelijkbaar met een spel uit een winkel stelen dan met een kopie voor eigen gebruik maken.
Ja dat snap ik, maar ik zou niet 10 keer een 160 points code gaan invoeren dat lijkt zowiezo verdacht.
Als 1 persoon dat doet zou hij nog onder de radar kunnen blijven, ik vul na Nieuwjaar ook soms 5 a 6 codes na elkaar in die ik gekregen heb ;)
Eigenlijk hebben ze de fout gemaakt het openbaar te maken, hierdoor werd het plots massaal gebruikt en dus viel het op. Eerder domme dieven dus, maar ik ben blij dat ze gepakt zullen worden.
Er zijn mensen die meer dan 10.000 aan MS punten hebben binnengehaald...
en een site als dit is dit wel "legaal" http://xboxlivekaarten.nl/ ?

ik heb daar namelijk mijn 1 jaar lang gold kaartje gekocht omdat het gewoonweg voordeliger is als kopen bij bijvoorbeeld een media markt
Waarom zou dat niet legaal zijn? Ze verkopen gewoon officiele live abbo's, alleen is het goedkoper, zoals zoveel dingen, omdat je het online koopt ipv in een winkel.

Overigens kan het nog goedkoper, zie bv gamehubs.com
Ja. Ik krijg iig bij http://www.livecodes.nl/ altijd een scan van een echte kaart. Neem niet aan dat ze voor die gegenereerde codes een kaart maken. Je ziet nl of een afbeelding een scan is, of dat de code erin geplakt/gehackt/gephotoshopped/gecode is
Die website heb ik al een paar keer gebruikt. Je krijgt zoals gezegd gewoon Een scan. Niets mis mee.
Waarom niet? Heeft trouwens helemaal niets met dit bericht te maken.
Grappig vroeger schepte criminelen op wat de waarde van hun misdrijf was aka wat het opgeleverd is.

Vandaag de dag scheppen mensen op met waarde die niet "fysiek" is.

In de nabije toekomst scheppen mensen op met de gedachten aan een criminele daad :-)
Deze niet fysieke waarde wordt wel in fysieke waarde omgezet wanneer de punten uitgegeven worden. Er gaat dan immers geld naar de ontwikkelaars toe. Dus dan worden het wel ineens echte euros/dollars.
"via een exploit gestolen Xbox Live-codes" leest een beetje verwarrend. Het is net of MS een exploit gaat gebruiken om ze onklaar te maken. Ik moest het twee keer lezen om dus te ontdekken dat dat niet zo is. "Xbox live codes die via een exploit gestolen zijn" leest beter :)
Daarom staat er ook "de via een exploit gestolen Xbox Live-codes".
Microsoft heeft gelijk om iedereen een levenslange ban te geven, dat hadden ze kunnen weten voordat ze van deze exploit gebruik maakten.
ze moeten gewoon meer gaan controleren op de door hun uitgeven codes, de aanmeld sessie zou ietsje langeren duren maar kans op misbruik van codes is dan een stuk kleiner. Maar het blijft maar een idee natuurlijk..
Opzich kon dat al ik kende jongen zijn vader was een hacker ik kreeg voor 10tje al live 12 mnd en punten daarmee kocht ik dlcs en games

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True