Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 190 reacties

Microsoft heeft een 5-jarige jongen beloond voor het vinden van een kwetsbaarheid in de Xbox Live-dienst. De jongen bleek kinderlijk eenvoudig het wachtwoordscherm te kunnen omzeilen door simpelweg op spatie te blijven drukken.

Kristoffer Von Hassel uit San Diego ontdekte de kwetsbaarheid toevallig, zo meldden diverse media vrijdag. Hij wilde inloggen op het account van zijn vader, maar beschikte niet over het juiste wachtwoord.

De jongen vulde een verkeerd wachtwoord en kreeg een wachtwoordverificatiescherm getoond. Door vervolgens spatie in te blijven drukken tot het wachtwoordscherm vol stond en op enter te drukken, wist de 5-jarige jongen volgens 10News in te loggen op het Xbox Live-account van zijn vader.

De vader, die als beveiligingsexpert werkt, lichtte Microsoft in over de ontdekking van zijn zoon. Het bedrijf bedankte Kristoffer in een verklaring en zei ‘altijd te luisteren naar onze klanten’. Microsoft heeft het lek inmiddels gedicht.

De naam van de jongen staat nu op de lijst met mensen die ooit een beveiligingsprobleem in de onlineproducten van Microsoft hebben gevonden. Microsoft heeft de jongen als beloning voor het vinden van de kwetsbaarheid vier games, vijftig dollar en een Xbox Live-lidmaatschap voor een jaar gegeven.

Moderatie-faq Wijzig weergave

Reacties (190)

"vier games, vijftig dollar en een Xbox Live-lidmaatschap voor een jaar"
wow serieus...
Tja ik moet zeggen dat ik de kritiek van $noeckie wel een beetje deel.

Begrijp me goed; hulde voor Microsoft dat ze de melding serieus hebben genomen en zo snel gefixed. En de beloning is voor een jongen van 5 natuurlijk geweldig.

Aan de andere kant... Ik weet niet in hoeverre Microsoft een standaard heeft voor dit soort beloningen, maar echt opschieten doet het natuurlijk niet. Echt serieus hacken kun je niet voor dit soort beloningen. Zet dit af tegen de potentiele schade die zo'n lek kan veroorzaken, de kosten die men moet maken qua testen e.d. om dit soort lekken zelf te vinden, of de kosten (in uren) die een beveiligingsexpert moet maken om gericht naar kwetsbaarheden te zoeken en de beloning steekt er een beetje schraal bij af. De vier games zullen hoogstwaarschijnlijk downloads zijn van Microsofts eigen uitgever en een abo op XBox live kost ook niks. Laten we het totaal waarderen op 150 euro. Daar kijkt een beveiligingsexpert welgeteld één uur voor naar je systeem.

Op zich is het wel veel beter dan helemaal niks. Die lijst met namen is eigenlijk nog de grootste beloning; 'world fame'! Maar als je zo'n lek vindt en aan de ene kant biedt MS 150 euro aan beloningen en aan de andere kant kun je de informatie (legaal) voor duizenden euros verkopen aan de hoogste bieder, dan weten veel mensen met iets minder hoge morele standaarden al snel wat het wordt.

Eigenlijk zouden ze een standaard beloning van $ 10.000,- uit moeten loven. Dan kun je als hacker hier echt stevig je tanden in zetten met in het vooruitzicht dat als je dan een lek vindt dat je dan ook echt wat in handen hebt. Twee testers een maand in dienst kost meer. Google beloont hackers van Chrome een stuk beter: nieuws: Google beloont hackers met 310.000 euro voor beveiliging
"730 van de 1100 lekken kwamen in aanmerking voor een beloning, die dus gemiddeld 424 euro bedraagt."

Valt dus ook gewoon reuze mee

Bron: Laatste zin van alinea 2
Toch bijna drie keer zoveel en alles in cash, maar je hebt gelijk, nog steeds te weinig.

[Reactie gewijzigd door OddesE op 6 april 2014 21:17]

Ik denk dat dit slechts een proportionele beloning is.. Hartstikke leuk voor die jongen :)
Weet echter niets van de beloningen voor het vinden van lekker van Microsoft. Stel me eigenlijk voor dat dat iets professioneler zou zijn ja
Die jongen had als beloning levenslange lidmaatschap moeten krijgen.
Het kost MS bijna niets. Bovendien wordt die jongen en zijn vader op die manier levenslang ambasadeurs van MS; wandelen reclame palen die veel beter werkt.
En als kers op slagroom de staat de jongen (indirect via de vader) op de 'wall of fame'-lijst.
>Die jongen had als beloning levenslange lidmaatschap moeten krijgen.
Precies wat ik ik ook dacht. Ik snap dat ze hem geen hoog geldbedrag hebben gegeven (hoewel ik dat geen slecht plan zou vinden), maar een live-lidmaatschap voor een jaar? Dit lek had in de duizenden dollars aan schade kunnen aanrichten (als ik het goed begrijp) en dan ben je te gierig om door je bedankje een paar honderd euro aan potentiële winst mis te lopen?
Loon naar arbeid, dus goed betaald denk ik :) Laten we gewoon daarvanuit gaan, tuurlijk heeft MS meer te verliezen maar dit is proportioneel voor een 5 jarige toch...
Ze hadden ook niets kunnen doen. Allang leuk dat ze zo iets hebben gedaan. Ik vind het netjes.

Als je echt wilt dat mensen dingen melden moeten de beloningen denk ik ook hoger zijn. Maar daar zijn dan vaak van die wedstijden van. Mozilla heeft dat volgens mij ook al eens gedaan.
Microsoft keert ook grote bedragen uit voor het vinden en melden van hacks. Alleen gaat het in dat geval om lekken in de producten als Internet Explorer en Windows. Xbox (live) valt niet onder deze beloningsprogramma's.

Maar ja, Microsoft kan het toch nooit goed doen bij veel mensen hier op tweakers.
dit zal waarschijnlijk ook gewoon hun standaard-beloning zijn en claims over paswoord-omzeilingen worden altijd ernstig genomen
Hulde voor Microsoft????? Voor zo'n stel prutsers die geeneens op een overflow checken??
Jij bent wel erg snel tevreden. De programmeerkunsten van de persoon die dat live inlogscherm heeft gemaakt liggen op het niveau van een 5 jarige, en dan hulde voor zo'n bedrijf? :+
"730 van de 1100 lekken kwamen in aanmerking voor een beloning, die dus gemiddeld 424 euro bedraagt." Als je de lekken meerekent die geeneens een beloning verdienen volgens google kom je op nog geen 300 euro. Dat scheelt dus geeneens zoveel met de 150 van MS( al is het natuurlijk wel een sigaar uit eigen doos.) Maar Google beloont dus zeer niet veel beter dan jij lijkt te beweren,
Ja idd, waarom niet gelijk een levenslange lidmaatschap geven o.i.d., maakt hun bedrijf echt niet kapot hoor.. Wel grappig dat zijn vader beveiligingsexpert is, het zit in z'n bloed blijkbaar.
Waarom geen nieuwe auto, villa, 8 weken vakantie op de Bahama's en $50.000 zakgeld, maakt hun bedrijf echt niet kapot.

Je moet ergens een lijn trekken he, het gaat om het gebaar Microsoft is geen Sinterklaas.
Daarom juist, ze mogen best wat royaler uitpakken dan Sinterklaas. Die geeft cadeaus zonder tegenprestatie, dit was voor het vinden van een lek dat door de MS experts niet ontdekt is.
Ik weet niet wat jullie tweakers hiervoor als beloning beschouwen, in mijn ogen is een beloning iets wat representatief is voor het werk dat je verzet hebt.

Ik kan zulke beloningen alleen maar toejuichen, het is niet dat dat Jochie er veel tijd in heeft zitten, daarbij heeft zo'n kind nog geen benul van geld e.d. Dat het leuk is om een hele berg te krijgen is in mijn ogen totaal niet relevant, hebberts
Eens, daarnaast lijkt het me opvoedkundig niet erg verantwoord om zo'n kiddo the overladen met geld. De vermelding en media aandacht laten waarschijnlijk al genoeg indruk achter ;)
Dus jij wilt een 5 jarige zoveel miljoen geven....
Tuurlijk is het vriendelijk om voor hulp een bedankje te geven, Microsoft hoeft dat niet te doen en 4 games, een jaar lidmaatschap en 50 euro om zelf wat speelgoed te kiezen is (vind ik) voor een kind een prachtig geschenk, helemaal als het een gebaar is.
dit kost microsoft geen hol en heeft dat kind amper iets aan binnen 5 jaar. Hadden ze hem 15 jaar xbox-live gegeven, dan kostte het hen nog niets en was hij gemotiveerd om het te blijven gebruiken
15 jaar xbox kost ze ook niks... levenslang lidmaatschap slaat ook nog geen deukje in hun inkomsten, dus dat is ook niet het punt.
Bovendien was hij al gemotiveerd de Xbox te gebruiken, aangezien hij probeerde zijn vaders account in te komen, ik weet niet hoe het met jullie zit, maar als ik op mijn vijfde 4 games, 50 euro en een jaar lidmaatschap had gekregen nadat ik ook al de eer had gekregen om op de lijst van Microsoft's beveiligingslek ontdekkers te komen zou ik ongelooflijk trots en blij zijn...
als 5-jarig kind maak je geen keuze, maar als je vanaf dan tot je 20e elk jaar opnieuw een gratis jaartje xbox life krijgt, dan wil je misschien niet eens meer kiezen en zijn die 15-jaar oude games helemaal waardeloos
Nou, laat het dan iig xbox live zijn in plaats van een xbox leven..
Normaal krijg je wel een beetje meer voor een lek waarmee iemands account overgenomen kan worden. Dit had best veel werk kunnen opleveren voor Microsoft, met allerlei mensen wiens account gehackt zou zijn helpen. De beloning voor het vinden is wel echt enorm karig vind ik dan.
Het jongetje zal niet eens hebben geweten wat hij deed. Vader zat in de branche, en heeft de credits aan zijn zoontje gegeven. Er zijn dan weer regeltjes die moeten voorkomen dat het op kinderarbeid lijkt. Een hoge beloning aan een kind mag - in Nederland in elk geval - dus niet. En die gup is allang blij met z'n vier spellen hoor.
Ik denk dat je dit meer kunt zien als het winnen van een prijsvraag dan kinderarbeid hoor. Daarnaast zal dat kind zeker wel blij zijn, maar dat betekent niet dat de beloning in proportie was. Deze bug had account diefstal in de hand kunnen werken. Als ze dat kind 1000 euro ofzo geven kost het hen nog steeds een verwaarloosbaar bedrag in vergelijking met wat het hen had kunnen kosten.
't was een simpele workaround die hoe dan ook vroeg of laat wel was opgemerkt. Door MS of wellicht een externe partij. 1000 piek omdat je als 5 jarige aan het kwallen bent is te gortig.
Weet jij hoeveel zaken er per ongeluk zijn ontdekt in de tijd en die in een aantal gevallen de ontdekker geen windeieren heeft gelegd?
- Penicilline
- Viagra
- Radioactieve straling (Curie heeft daar niet echt veel plezier van gehad.....)
- Röntgen straling
- Lucifers
- Magnetron
- Plastic
- Veiligheidsglas

Dus iets wat achteraf eenvoudig lijkt hoeft zeker niet te betekenen dat je er dan maar niets voor hoeft te krijgen....

En vroeg of laat; Waarom betalen voor boeken? (iets met veel apen, typemachines en genoeg tijd)
Maar die vergelijking gaat hier niet op. Een product of natuurkundig verschijnsel dat ontdekt wordt is niet te vergelijken met een lek in het XBox Live inlogsysteem. Bovendien is het maar de vraag of de daadwerkelijke ontdekker van dat fenomeen er wel zo rijk van geworden is, meestal zit er wel een slim commercieel figuur boven die het geld opstrijkt.

Maar wat je noemt zijn vindingen die te "vermarkten" zijn, waar je dus geld aan kan verdienen. Een toevallig gevonden lek in de inlogprocedure voor XB Live is lastig te vermarkten. Bovendien is deze jongen net zo blij met wat MS hem nu geeft als jij zou zijn met pakweg 10k euro en een XBox One.
Wat je hier noemt zijn in laboratoria ontwikkeld.
Madam Curie was een natuur- en scheikundige die onderzoek deed.
We praten hier over een 5 jarige die wat op een toetsenbord zit te rammen.
Het zal me niet eens verbazen als het de vader was die dit heeft ontdekt, maar het aan zijn zoontje van 5 heeft gegeven omdat hij zelf wel wist dat dit nou niet bepaald van niveau is voor eeen "beveiligings expert".

Edit: Amped was me al voor.

[Reactie gewijzigd door GoT op 5 april 2014 14:52]

Met alle respect voor madam Curie...
Maar in princiepe liep ze ook te knoeien met gevaarlijke spullen en had dit ook waanzinnig onderschat.
Waarom denk je dat Marietje zo'n last had van haar en andere uitval.

Geef een 5 jarige een keukenkastje en wat lucifers en je zal verbaast zijn wat ze voor elkaar krijgen.

Zelf als 50 jarige haalde ik vorige week nog een mooie stunt uit.
Mijn vrouw ergerde zich aan de sapcentrifuge.
Een van de slotjes bleef hangen.
De slotjes vrijgemaakt met wat siliconespray en een keukenrol om het slotje schoon te poetsen.
Goed... ik stopte de stekker in het stopcontact om de centrifuge te proberen...
WOEFFF zei de centrifuge, de keukenrol vatte vlam en in de kortste keren stond m'n keuken in de fik.
Mijn vrouw link, mijn dochter schudde haar hoofd en ik lag in een breuk van de lach.
Uiteindelijk geen schade en de sapcentrifuge deed het weer.

[Reactie gewijzigd door kittop op 5 april 2014 13:38]

Volgens mij snap je het nog steeds niet.
Ze deed wel degelijk haar hele leven lang onderzoek in radioactiviteit, het is niet dat ze het "per ongeluk" heeft ontdekt.

Iemand die levenslang onderzoek doet heeft werk voor het leven.
Iemand die "per ongeluk" iets vind, zal de kans extreem klein zijn dat die de volgende keer nog iets "per ongeluk" vindt.

Er wordt hier steeds gezegd: geef die jongen een baan, maar dat is wel het stomste wat je kan doen, evenals een 5 jarige een keukenkastje geven met wat lucifers.
Ik denk dat u het niet helemaal begrijpt.

Ik stel een vergelijking tussen mevrouw Curie en een 5 jarige.
Voor beide is het één grote ontdekkingsreis.

Mevrouw Curie heeft per ongeluk "OOK" de gevaren van radioactiviteit ontdekt en het maakte "HAAR" er niet beter van.

Deze kleine jongen heeft per ongeluk een lek gevonden...
echter hij kan het niet "beter",,, maar normaliter wel "langer" navertelen.

Zo denk ik dat u het woord cynisme niet kent.
https://nl.wikipedia.org/wiki/Cynisme_%28psychologie%29
Appels met peren vergelijken.
Alsof het uitvinden van penicilline gelijk staat aan een peuter die op de spatiebalk en enter toets ramt. Of je denkt dat dat een bewuste debugging actie was. :')
Ik snap het punt wel dat je probeert te maken, maar in feite stelt het niets voor en zou het hoe dan ook binnen de kortste tijd door iemand zijn gevonden.
Je gaat een vijfjarige ook echt duizenden dollars geven. 8)7
Waarom niet? Is een ontdekking door een kind minder waard dan een door een volwassene?
Ik kan me genoeg redenen bedenken. Als ik ouder was zou ik daar ook niet blij mee zijn. Leuk voor de volgende verjaardagen en feestdagen, want dan kunnen de cadeautjes niet meer tippen aan wat Microsoft heeft gegeven.

Ik kreeg vroeger een Nintendo game of een Gameboy en daar was ik dolgelukkig mee. Zakgeld tien gulden toen ik wat ouder was. Dit is een enorm cadeau voor een 5-jarige. Net alsof dat kind er ineens blijer van wordt als je blind nog meer geld er tegenaan gooit. Plus iets van een gegeven paard niet in de bek kijken.

Google is natuurlijk een uitzondering, maar ook die geven niet blind geld weg. Bij de meeste andere bedrijven mag je blij zijn als je uberhaubt al een reactie krijgt en dat ze het fixen. Als het al geen snauw is van een chagrijnige systeembeheerder die zegt dat je dat niet mag doen en dreigt met een aangifte.
Gooi 5000 dollar op een spaarrekening die 16 jaar vast staat. Kan hij mooi zijn eerste rondje geven in de kroeg op zijn 21ste (en nu een paar spelletjes om het kind zoet te houden).

Mag je als 5 jarige wel een Xbox Live acocunt hebben? Ik ken de voorwaarden, maar ik kan me voorstellen dat er een (andere) minimum leeftijd aan hangt. Het zijn en blijven wel amerikanen die zich overal tegen indekken :)
Ik weet niet wat de minimumleeftijd is voor een Xbox LIVE account, maar ik weet wel dat als je nog geen 18 bent, je account onder een ander account wat wél oud genoeg is valt, d.m.v. parental settings of iets dergelijks.
Een lek oplossen. Financieel mogelijk op dat moment. Een gift geven aan een kind van 5 jaar. Kinderen lossen ook niet elke dag een lek op, of het moet een toeval zijn. En de jongen word misschien nog gemotiveerd voor zijn toekomst.

Mooi

[Reactie gewijzigd door TheFXboy op 4 april 2014 21:45]

Wie zegt dat zijn vader het lek niet heeft ontdekt (het is tenslotte zijn baan) en de eer aan zijn zoontje heeft gegeven ? Zo rollen die Amerikanen tenslotte :-)
Omdat ie zo jong is had een lifetime membership wel leuker geweest. Zelfs voor MS zelf, die jongen is het nu over 10 jaar vergeten. Bij een lifetime membership blijft het gevoel van beloning toch wat langer hangen.
Maar het gaat toch niet om de beloning...
Alsof mensen alleen maar iets doen als er een beloning tegenover staat...

Overigens is de beloning dat hij 'levenslang' op de lijst staat als de ontdekker van een lek,
De naam van de jongen staat nu op de lijst met mensen die ooit een beveiligingsprobleem in de onlineproducten van Microsoft hebben gevonden.
Dus ook over 20 jaar weet hij dat goed, ik neem aan dat hij de jongste 'beveiligingsonderzoeker' ooit is, die ook nog eens een zeer trotse pa zal hebben.

Altijd maar dat geld geld geld hebbe hebbe hebbe :+
Flink overdreven. Neem hem gewoon in dienst _/-\o_ _/-\o_
Wat voor "puur toeval ontdekkingen" denk je dat hij nog meer zal vinden als je hem Full-time in dienst neemt ?
Hoe serieus denk je dat-ie is, als hij zegt dat ze een 5-jarige in dienst moeten nemen? ;)
*Nas T mompelt iets over kinderarbeid*
Het bedrijf bedankte Kristoffer in een verklaring en zei ‘altijd te luisteren naar onze klanten’.
Eeeh...Wat?

*Nas T kijkt linksonder*
*Nas T kijkt terug naas het bericht*
*Nas T kijkt linksonder*


Nope, still not there....
Tussen luisteren en iets doen zit een groot verschil. Ik luisterde ook altijd naar mijn ouders, maar deed ook niet altijd wat ze vroegen :P
Je hoorde het dus wel, maar luisterde niet ;-)
Hij hoorde het niet alleen, hij luisterde, maar koos bewust het vervolgens niet te doen.
Hij luisterde wel, maar gehoorzaamde niet...
De NSA luistert ook naar iedereen. ;)
'The only branch of government that actually listens' zoals op een inmiddels beroemd (de NSA probeerde het te verbieden) t-shirt staat ;-)
Misschien wel via de XboxONE :+
Je hebt wellicht een crash dump gezien en weet niet waar de klepel hangt.
inderdaad is het nog al weinig volgens mij kregen mensen die in het begin beveligingslekken bij windows phone aan het licht brengen veel meer dan dat :D
Spelen vijf jarigen al op een Xbox? Ik denk dat die vader hier meer aan heeft gehad dan het zoontje :P Was het niet zo dat als je een beveiliging vindt je daar enorm hoge geldbedragen voor zou krijgen. Die vader had het onder zijn eigen naam moeten inzenden, dan was de beloning velen malen hoger geweest.
Moeten ze hem een privé jet geven dan?
Voor dat ventje is dat waarschijnlijk de extase van 2 keer sinterklaas.
't is hem gegund.
Voor een kind van 5 is dat gigantisch.
Je moet het ook wel in proportie zien.

Voor jou en mij is het peanuts en lache we MS uit,. maar die jongen is er heel blij mee.
Wat moet zo'n kind met 10k? Die beseft nauwelijks wat de impact is.

Daarnaast was de bug waarschijnlijk ook niet echt "moeilijk" om te vinden, dus om daar nou de jackpot voor te geven is ook een beetje onzinnig.

[Reactie gewijzigd door bbr op 5 april 2014 21:37]

Das drie jaar zakgeld voor een knul van die leeftijd.
precies wat ik ook dacht
Ja. Da's toch een leuke beloning voor een 5 jarige jongen. Lekker wat spellen, en een (voor hem) groot bedrag.
Zoonlief moet buiten spelen, door het gras rollen en vuile handen van zandkastelen maken krijgen.

Overigens wel een beetje een vreemd verhaal verder. Allemaal zo...perfect.
Zoiets als dat de vader dit eigenlijk zelf had gevonden en zijn zoon er voor gebruikt om het nieuwswaardiger te maken.
Ik weet het niet.
Ja je blijft als volwassen vent ook op spatie rammen in het wachtwoord verificatiescherm (terwijl je het wachtwoord gewoon weet) totdat het vol is.... 8)7
Als beveiligingsexpert zal je zo wel eens experimenteren, ja, waarschijnlijk...
En een vijfjarige die na heel spaties, enter indrukt? :)
5 jarigen kunnen goed expirimenteren heb ik ervaren.
Ik heb gewerkt in een zeer goed bewaakte bunker.
Een officier operatieën had zijn zoontje meegenomen.
Naast het hok van de officier was een stalen hek wat te openen was met een 4 cijferige code.
Het kleine jong zag een heleboel mensen vier keer rammen op het toetsenbordje en het hek ging open.

Het kind dacht dat hij dat ook kon en gaf 4 rammen op het toetsenbordje en naar ieders verbazing ging het hek van de zwaar bewaakte afdeling gewoon ook open..

Het bleek dat als je meerdere knoppen vlot tegelijk indrukte het slot van het hek vrij kwam...
Niemand wist hoe lang dit mogelijk was... maar het slot was al jaren gemonteerd en was een leermomentje voor heel veel mensen.
Dusss....
Onderschat nooit een 5 jarige.
Experimenteren...
Of gewoon nadoen?

Er staat mij iets bij dat een volwassen aap ongeveer net zo intelligent is als een pak-em-beet 5 jarig kind. Ze zullen nog niet op een heel hoog niveau experimenteren, waar ik onder versta dat je een hypothese stelt en dat vervolgens proefondervindelijk een resultaat krijgt.
Dat experimenteren zal zich meer beperken tot 'ik zie a gebeuren door b te doen, als ik b doe zal ik ook a krijgen', oftewel na-apen. Daar wordt nog wat 'error-guessing' aan toegevoegd op zijn hoogst. Experimenteren door gewoon maar wat te doen.

Het verschil zit hem hier in het voorspellen: Ik wil A bereiken, ik denk dat ik zus-en-zo moet doen, omdat deze en die reden, en goed beredeneert zou ik dan A ook moeten bereiken. Gebeurt dat onverhoopt niet, dan heb ik een denkfout gemaakt.
Bij de 5-jarigen/apen beperkt het zich tot: ik zie iemand A doen en wil dat ook doen, hoewel ik niet weet waarom ik het doe; of ik zie iemand beloning B krijgen en wil dat ook, dus ik ga hem nadoen in de hoop ook B te krijgen.
Je zou je verbazen tot wat volwassenen in staat zijn in games. Als men in Dota 2 elkaar voor retard uitmaakt dan zal men ook wellicht uit woede op het klavier hameren.
Lees het bericht nog eens. De zoon heeft een xbox live lidmaatschap gekregen voor een jaar.
zelfs al hebben ze de moeite gedaan om een 5-jarig kind een account te geven:
By using the Services, you represent that you have reached the age of “majority” where you live and agree to be bound by this Agreement or you are the parent or legal guardian of a minor that has an account associated with yours and you are accepting this Agreement on their behalf.
dan nog heeft pa controle over zijn account en kan hij niet gamen wanneer hij wil :(
eermz ... hij heeft 'm al 1x gehacked ... een tweede keer zal ook wel lukken zeker?

alleen zal de zoon nu wat beter opletten dat hij niet betrapt wordt denk ik... :)

hij zal wel vloeken om die games en dat jaar ... hij had liever gehad dat hij nog gewoon kon inloggen zonder dat pa het zag...
eermz ... hij heeft 'm al 1x gehacked ... een tweede keer zal ook wel lukken zeker?
Zoals ik het lees vond hij het lek bij toeval en MS heeft het lek inmiddels gedicht. Dat komt niet op mij over als een "l33t h4x0r" die nu op zoek gaat naar het volgende lek dat hij bijna gegarandeerd gaat vinden ;) Het impliceert zeker niet dat hij hier verstand van heeft (zijn vader wel), dus hoezo zal het hem een 2e keer ook wel lukken?

En een vijfjarige zal hoogstwaarschijnlijk geen vrije toegang tot een XBox Live account krijgen, maar goed, ik ken zijn ouders niet. De vorige keer had hij het niet, dus ik vermoed deze keer ook niet.

[Reactie gewijzigd door Grrrrrene op 5 april 2014 09:11]

And that's..... bad?...
Lijkt me terecht, die jongen is VIJF :P
voor hem wel
Niet alleen de manier waarop hij eromheen kwam was triest, maar ook het feit dat het zo mogelijk was en op deze leeftijd alsook de beloning die hij kreeg. Bijna zielig gewoon. Konden ze echt niet beters verzinnen bij MS?
Ik vermoed dat dit toch een developer en/of helpdesk functie was die ze per ongeluk in een live build gegooid hebben... Die authenticatie moet natuurlijk plaatsvinden terwijl het iets (hashes) vergelijkt met de servers van Microsoft... Zo'n override als deze: lijkt me stug dat het echt een bug was, eerder gewoon een oerdomme fout dat het in een normale build terecht is gekomen.
(Tenzij de account die 'overgenomen' kon worden al perse geactiveerd moest zijn op de XBox natuurlijk; maar daar zijn nul details over naar buiten gebracht als ik zo lees.)

[Reactie gewijzigd door WhatsappHack op 4 april 2014 21:05]

Ik vermoed dat dit toch een developer en/of helpdesk functie was die ze per ongeluk in een live build gegooid hebben...
Als ik zoiets ontwikkel staat het binnen DEBUG defines. Op die manier kan het dus NOOIT in live builds terecht komen...want ik kan me niet voorstellen dat ze per ongeluk een debug build live zetten.
Slordig....
Spaties als password lijkt me inderdaad een typisch developer dingetje...
Zeker slordig, maar zeg nooit nooit. Het sluipt er zo makkelijk in: defines vergeten, haastwerk, deadlines, kosten...
Ik ben ook wel eens live iets van mezelf tegengekomen dat gewoon niet kon :+
Spaties (heel veel, waarschijnlijk het maximaal in te voeren aantal tekens) heeft natuurlijk niets te maken met een developershortcut. Die hebben wel wat beters te doen dan 128, 256, 32768 of 65536 spaties in te typen inplaats van een wachtwoord.

Het heeft veel weg van een klassieke buffer-overflowfout, waardoor de wachtwoordcheck (met hashes neem ik aan) het niet zozeer begeeft, maar simpelweg omzeild wordt.

[Reactie gewijzigd door mae-t.net op 6 april 2014 21:58]

Inderdaad, maar dan alsnog. Dit zou toch triplechecked moeten worden?
Jep, het maakt het eigenlijk des te erger. Het is een van de eerste dingen die je behoort te doen; zeker als een enorme tech-gigant... Ik bedoel, niemand die een herhaling wil van het PSN grapje lijkt me :P Lekker credit card gegevens harvesten...
Dat laatste was helemaal niet mogelijk. Het gaat namelijk alleen om het toegang krijgen tot een account wat al gekoppeld is aan de xbox. Het is ook helemaal geen hack van het account, maar het omzeilen van de parental control op de xbox. De jongen was al ingelogd en aan het spelen onder zijn vaders account.
Wat zou de technische reden kunnen zijn geweest waardoor dit lek er was, iemand een idee? Ik kan me er echt niets bij voorstellen. Als ze de wachtwoorden hashen en lijkt me niet dat een reeks spaties altijd de juiste hash oplevert.

Wellicht dat ze eerst controleren of het wachtwoord een lege string is, deze vervolgens trimmen en dat er bij de daadwerkelijke password check iets mis gaat, omdat ie dan alsnog leeg is. Slordige bug iig, althans zo lijkt het.
Een wachtwoord ga je ook niet zomaar trimmen. Ik vermoed dat het om debugfunctionaliteit gaat, een andere goede reden zou ik niet kunnen verzinnen.

Als het om een heel erg toevallige collision gaat dan zou microsoft wel duidelijk gemaakt hebben dat er nooit een lek in heeft gezeten.
Wachtwoorden kan je zeker trimmen, maar dan moet je wel concequent zijn en het overal doen.
Natuurlijk kán het. Het slaat alleen nergens op.

Kun je net zo goed alle voorkomens van A verwijderen. Als je het maar consequent doet is dat geen probleem? 8)7

De input van een wachtwoord dient as-is beschouwd te wordnen Als er bepaalde tekens niét in voor mogen komen (om wat voor dubieuze reden dan ook) moet je daarna een melding geven dat je wachtwoord niet aan die eisen voldoet in plaats van hem dan maar automatisch aan te passen.
Alle gebruikersinvoer (behalve binaire bestanden) trimmen is standaard bij frameworks. Zolang het concequent gebeurd is er niks mee aan de hand.

Het scheelt ook gedoe dat er perongeluk een spatie ervoor stond bij het registreren en bij de login niet.
Of dat mensen het tijdelijke wachtwoord bij een reset verkeerd copieren en er een spatie mee komt. Je ziet die spatie tenslotte niet in een wachtwoord veld.

Bij mijn eigen framework is de enigste eis aan het wachtwoord dat het minimaal 8 tekens moet zijn. Voor de rest kan je invullen wat je wilt. Maar spaties ervoor en erna worden standaard verwijderd.

[Reactie gewijzigd door hackerhater op 6 april 2014 10:16]

En mijn random password generator heeft een net zo grote kans om een A als eerste of laatste karakter te genereren als een spatie. Dat betekent dus inherent inboeten op entropie, aangezien die volgens jouw methode dan automatisch ingekort zou worden.

Als je een wachtwoord invuld en je hebt er een spatie in staan, dan moet je dat bij de bevestiging van je wachtwoord (een standaard veiligheidsprocedure) 'toevallig' ook doen. Als je het twee keer per ongeluk voor elkaar krijgt om dat te doen en dan vervolgens bij het invullen van je wachtwoord niet, dan doe je zelf iets niet goed. En wat nou als er per ongeluk een 'A' in je invoerveld stond? Ik weet niet hoe vaak jij "per ongeluk" spaties intypt maar dat overkomt mij vrjiwel nooit.

Bij het kopiëren van een tijdelijk wachtwoord heb ik inderdaad wel gehad dat er per ongeluk een spatie meekomt. So what? Bekend probleem, been there, done that. Login geweigerd, ik probeer het nog een keer terwijl ik wél alleen het wachtwoord mee kopieer. Mocht je echt menen dat dat vaak tot verwarring leidt dan kan je er altijd nog een waarschuwing bijzetten dat je even moet controleren of je geen spaties meekopiëerd.

Hetzelfde als met capslock. Veel offline systemen waarschuwen je wel als je capslock aanstaat terwijl je een wachtwoord intypt. Ze zouden natuurlijk ook gewoon zelf de invloed van capslock actie om kunnen draaien en hoofdletters klein en kleine letters groot maken onder hem om van gebruikersgemak. Onvergeeflijk, want hiermee verwijder je wederom entropie uit het wachtwoord.

Zonder inbreng van de gebruiker zijn wachtwoord modificeren vind ik een enorm slechte handelswijze.
En jij denkt dat ik die spaties mee reken met de minimale lengte? Dat doe ik dus niet.
Mij overkomt perongeluk spaties niet, maar genoeg users tegen gekomen waar dit wel het geval is.Sowieso is het geen bewuste actie om de wachtwoorden te trimmen. De beveiligingslaag doet dat simpelweg met alle tekstinvoer, wat het ook is.
Misschien dat er iets gebeurt als de string te lang wordt waardoor je een false positive krijgt.

Maar ik zou me ook voor kunnen stellen dat dit er in zat om dingen snel te kunnen debuggen en dat ze zijn vergeten dit er uit te halen.
Benieuwd wat voor code zo'n bug veroorzaakt..
Je zou denken dat er een simpele if statement is die zegt, als de hash van het wachtwoord gelijk is aan de opgeslagen hash, ga verder... Die spaties zijn niks anders dan een foutief wachtwoord?
Ik kan me voorstellen dat je het password trimt (spaties aan het eind verwijderd), daarna is het password leeg i.p.v. spaties en de check die er is om te kijken of je überhaupt een password opgeeft test misschiende originele lengte. Zoiets kan eenvoudig onstaan door de gekke eis dat spaties aan het eind van een password niet kunnen, of genegeerd worden.

Dit kan je testen door bij het inloggen een paar extra spaties aan het eind van je password te plakken. (ik heb geen xbox)

[Reactie gewijzigd door Sendy op 4 april 2014 21:50]

Buffer overflow?
Leuk dat microsoft dit doet, goede reclame :-)
Goede reclame? Een 5 jarige die hun beveiligingssysteem omzeilt is geen goede reclame 8)7
Dat ze er wat aan doen is wel iets positiefs omdat microsoft niet altijd die houding heeft
Negatieve reclame werkt beter dan positieve ;)
Nou nee, niet als het om veiligheid draait... Natuurlijk is het bedankje, wat games en een lullig bedrag wel een semi feel-good momentje: maar daar blijft het ook bij. Feit blijft wel dat er een enorm achterlijke "bug" in het authenticatie systeem zat.
Dat kan ik me niet voorstellen. Wel dat het beter is dan géén reclame
Dit mag ook wel in de guinness book of world records als jongste bug finder.

Spelfout gecorrigeerd: founder->finder, bedankt voor de feedback

[Reactie gewijzigd door Monkeydancer op 4 april 2014 21:32]

Founder zou betekenen dat hij de bug opgericht/gemaakt heeft, ik zou het eerder op finder gooien ;)
Als hij een bug founder zou zijn, had ie er een bedrijf mee kunnen beginnen...
Ben benieuwd hoe zo'n systeem dit nou goed kan keuren... Hij checked toch een bepaalde waarde en die moet overeenkomen of ben ik nou helemaal gek geworden?
waarschijnlijk wordt er eerst nog andere validatie op de string gedaan, iets als een lengte check om een bufferoverflow te voorkomen. als in die validatie een bug zit kan dit natuurlijk de compare voorbij geschoten worden. slordig is het wel.
leuk begin voor je CV :)
tja denk niet dat tech bedrijven er waarden aan hechte als je toen je 5 jaar was buttons aan het spammen was en vervolgens op je pa's account inlogde zonder wachtwoord
haha het lijkt bijna te mooi om waar te zijn, toevallig is zijn vader een beveiligingsexpert ;P
"kinderlijk eenvoudig" :+

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True