Quale hack per uso improprio account Xbox Live?

Quale hack per uso improprio account Xbox Live?

Sembra che alcuni utenti siano riusciti a spiegare come è avvenuta la frode degli account Xbox Live, che nelle scorse settimane ha messo Microsoft nel panico.

di Rosario Grasso pubblicata il , alle 10:31 nel canale Videogames
MicrosoftXbox
 

A inizio gennaio si sono rincorse delle notizie su possibili usi impropri di account Xbox Live. Alcuni hacker, infatti, hanno preso il controllo di account di altri e li hanno usati per acquistare fraudolentemente grosse quantità di Microsoft Points.

Ecco cosa rispondeva Microsoft in via ufficiale: "Microsoft conferma che non c'è una violazione del sistema di sicurezza di Xbox Live. Sembra che recentemente alcuni membri di Xbox Live siano stati vittime di truffe. Purtroppo, questo tipo di cose capitano frequentemente sui servizi basati su internet".

Microsoft ribadiva la sua attenzione sulle questioni legate alla sicurezza e rassicurava la maggior parte degli utenti di Xbox Live che quanto si era verificato era un problema circoscritto. Tuttavia, non si faceva luce sulle effettive procedure che avevano portato gli hacker a impossessarsi dei dati dei membri di Xbox Live coinvolti.

Eurogamer, con l'aiuto dell'utente Jason Coutee e di AnalogHype, è adesso in grado di formulare un'ipotesi su cosa è successo a Xbox Live. Secondo Coutee, il fulcro della procedura di exploit è proprio il sito web ufficiale Xbox.com: la procedura di login, infatti, consente fino a otto tentativi di inserimento della password prima di lanciare il programma CAPTCHA, ovvero il sistema che richiede agli utenti di riportare delle parole che appaiono in forma deformata.

Secondo le fonti, un normale sistema di generazione delle password può essere usato per fare un exploit al sistema prima che il programma CAPTCHA entri in funzione. Gli hacker, inoltre, si sarebbero procurati gli 'user id' tramite semplici ricerche su Google. Microsoft per il momento non ha rilasciato un commento ufficiale sulla spiegazione di Coutee.

Secondo AnalogHype, Jason Coutee è manager di un'infrastruttura di network che ha subito un hack del proprio account Xbox Live, procedura che ha consentito la sottrazione fraudolenta di 8000 Microsoft Points (circa 93 euro). Il supporto Microsoft, dopo essere stato contattato, ha bloccato immediatamente l'account ma non ha rimborsato l'utente della cifra trafugata. Secondo diverse fonti su internet, diversi utenti hanno subito degli attacchi come quello di Coutee.

12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Mettek16 Gennaio 2012, 11:08 #1
Si ok ma se in 8 tentativi ti becco la password non doveva essere questa gran password.

Si potrebbe fare la stessa cosa in diversi altri siti non credo si colpa di Microsoft. Al massimo l'unica colpa di Microsoft è quella di aver messo i tentativi a 8 invece di 3 ma non fa molta differenza.
AnonimoVeneziano16 Gennaio 2012, 11:21 #2
C'è una statistica che mi avevano mostrato durante il corso di Computer Security che diceva che un utente su quattro usa come password la parola "password" ...
Unlock3d16 Gennaio 2012, 11:48 #3
Originariamente inviato da: AnonimoVeneziano
C'è una statistica che mi avevano mostrato durante il corso di Computer Security che diceva che un utente su quattro usa come password la parola "password" ...


estremamente furbi .....
Mde7916 Gennaio 2012, 11:57 #4
basta in quegli 8 tentativi provare i seguenti termini:
password
123456
12345678
qwerty
qwertyui
111111
login
e l'id stesso e su qualche milioni di utenti vedrai che ne becchi almeno un centinaio
Mr Resetti16 Gennaio 2012, 12:23 #5
Sì, ma c'è un modo di saltare il controllo captcha: c'è un link "Accedi con un altro Windows Live ID" che ti permette di tornare alla pagina precedente e che ti fà reinserire di nuovo user e password senza controllo. Se sbagliata ti torna fuori la pagina col captcha, ma si può usare di nuovo il metodo del link e tornare ad inserire una password senza ulteriori controlli.

Quindi alla fine di tentativi se ne hanno finchè se ne vuole e non solo 8. All'inserimento della password corretta si entra nel profilo senza alcun altro controllo (potete fare voi stessi una prova, dato che il Live ID è comune tra i vari servizi di MS).

Con uno script alquanto semplice è facile usare un'attacco bruteforce in modo incontrastato.
omerook16 Gennaio 2012, 12:53 #6
si potrebbe utilizzare il sistema di registrazione per ottenere indirettamente le user id? nel senso se provo a generare un nuovo accont ma il nik risulta già utilizzato di solito viene segnalato che l'accaunt è gia esistente. ora immaggiono che per un esperto di programmazione non dovrebbe essere difficile scrivere uno script che tenti la generazione sequenziale di nuovi account e tenere traccia di quelli che risultano già utilizzati. ho detto un' assurdità?

se cosi fosse si dovrebbe rivedere il sistema di registrazione ovvero adottare sistemi
tipo il captcha come prima fase e no come conferma

questo non è il caso di windows live id ma molti siti propongono la verifica della disponibilita dell nik prima di continuare la registrazione
kirylo16 Gennaio 2012, 15:18 #7

i nostri ID alla portata di molti...

basta essere in qualche cagata tipo una delle miriade mail di S. Antonio:

"Per abbassare il prezzo della benzina"
"I politici quest'anno spendono"

per cui se alla fine del tour, la mail arriva alla persona sbagliata, e la vostra mail è usata come live id, allora molto probabilmente rimarrete registrati a vita nei vari DB che si smerciati e scaricano in giro per internet.
winebar16 Gennaio 2012, 19:07 #8
Originariamente inviato da: omerook
si potrebbe utilizzare il sistema di registrazione per ottenere indirettamente le user id? nel senso se provo a generare un nuovo accont ma il nik risulta già utilizzato di solito viene segnalato che l'accaunt è gia esistente. ora immaggiono che per un esperto di programmazione non dovrebbe essere difficile scrivere uno script che tenti la generazione sequenziale di nuovi account e tenere traccia di quelli che risultano già utilizzati. ho detto un' assurdità?

se cosi fosse si dovrebbe rivedere il sistema di registrazione ovvero adottare sistemi
tipo il captcha come prima fase e no come conferma

questo non è il caso di windows live id ma molti siti propongono la verifica della disponibilita dell nik prima di continuare la registrazione


è scritto chiaramente che i nick se li sono procurati navigando sul web tranquillamente. Alla fine basta andare su un qualsiasi forum dedicato all'Xbox per vedere che molti in firma mettono l'immagine dinamica con i risultati ottenuti (nick, punti degli obiettivi e forse anche MS-Points).
Jack79717 Gennaio 2012, 04:42 #9
Alla fine anche la Microsoft è stata fregata! xD
Manca qualche notizia su server Nintendo bucati e siamo al completo! xD
virus_10117 Gennaio 2012, 11:30 #10
Beh intato gli sta bene, a che servono si ms points ? SOlo a farvi spendere la vita su una console inutile, vecchia e dalle prestazione nemmeno paragonabili ad un qualsiasi pc di fascia media di oggi !!

Cmq io adesso vorrei puntualizzare 1 cosa ... ma vuoi credete che un hacker faccia i tentativi sulla pagina web ?
Se devono fare i tentativi lo faranno interrogando direttamente lo script di gestione della pwd non credete ?

E se il sistema consente 8 inserimenti prima di richiedere il captcha ... cosa deve cambiare nelle intestazioni della richiesta affiche' questo non succeda?
CHe dati posso cambiare nella mia richiesta affiche' non mi chieda mai il capcha ?
Posso eseguire le richieste tramite un proxy cosi' da cambiare l'ip di frequente ?

Insomma queste sono le cose che si fanno e che certe aziende dovrebbero considerare, e questo e' solitamente solo l'inizio, oppure sono serie di bimbimikia che provano e provano e provano ed infine la statsitica li aiuta.
E secondo me appunto ricadiamo in questo caso... che cosa te ne fai di ms pts ? Ti danno da mangiare? Da pagare la benza ? La cena alla morosa ? TI aiutano ad andare in f**a ? NON CREDO PROPRIO!!!!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^