O que parecia ser um suposto hack de Fifa 12 mostra-se ser algo mais do que isso. A Xbox Live tem uma séria falha de segurança e a Microsoft vem a ignorando por muito tempo. Descobrimos como é fácil para que hackers ou qualquer um com algum tempo livre pode atacar sua conta na Xbox Live.
Conversamos com Jason Coutee, gerente de infraestrutura de redes que teve sua conta na Xbox Live atacada. 8000 MS Points foram comprados através de sua conta, então ele fez o que qualquer um de nós teria feito e contactou o Suporte Xbox. Uma transação para um Xbox Live Family Pack estava sendo processada e ele conseguiu cancelá-la antes de ser aprovada. Infelizmente, a Microsoft não pode restituir o valor dos 8000 MS Points, mas ofereceu o congelamento de sua conta por 30 dias para investigar. Jason negou a oferta para que pudesse conduzir sua própria investigação. Nas duas semanas que se seguiram, Jason buscou por vulnerabilidades que pudessem causar o ataque. Ele então descobriu o calcanhar de Aquiles do Xbox 360: Xbox.com.
O primeiro passo era descobrir as Windows Live IDs de gamertags. Então, após algumas rodadas de Halo Reach, ele juntou uma lista de gamertags e pesquisou sobre as mesmas no Google. Graças ao Facebook, Twitter e outros links que possuem um e-mail anunciado, hackers conseguem compilar uma possível lista de Windows Live IDs. Os hackers então precisam verificar se tal e-mail é uma Windows Live ID válida. É só visitar o site Xbox.com e tentar efetuar o login, utilizando o e-mail e uma senha qualquer, como "blah".
Se o hacker recebe a mensagem "conta inválida - account is invalid", é hora de tentar outro e-mail.
Se o hacker recebe a mensagem "senha incorreta - password is wrong", então essa conta poderá ser atacada.
Com um script simples, hackers podem forçar sua entrada numa conta da Live. Tal script pdoeria rodar uma lista de senhas em potencial, que qualquer um pode encontrar com uma simples busca através do Google. O script tentaria acessar a conta com uma dessas senhas até conseguir acesso. O site Xbox.com permite até 8 tentativas de entrada com senha incorreta antes de pedir por um código CAPTCHA. Quando hackers chegam a esse ponto e o CAPCTHA aparece, junto com ele surge um link "tente acessar com um Live ID diferente". Clicando nesse link, o CAPTCHA é reiniciado e o hacker pode tentar mais 8 vezes seguidas até que seja necessário clicar novamente no link. Esse processo pode ser facilmente automatizado por um hacker experiente. Uma vez que o hacker consegue acessar a conta, nada é seguro. Dados de cartáo de crédito, contas no Netflix, Hulu Plus, tudo pode ser roubado.
O que os hackers fazem com uma conta roubada? Comprar jogos e MS Points, mudar sua gamertag e e-mail associado para vender a conta online... Por diversão, eles ainda podem comprar um Family Pack e adicionar mais 3 gamertags ao seu arsenal. Hackers são conhecidos por fazer isso diversas vezes ao dia, conseguindo centenas de dólares por dia graças à preguiça da Microsoft e o seu dinheiro.
Jason Coutee tentou contactar a Microsoft para relatar seus achados e o QG da empresa o ignorou. Ele foi instruído a escrever para o helpnow @ microsoft.com. Também tentou ligar para o 1-800-4-MY-XBOX, onde conversou com um supervisor. Este supervisor o direcionou para os Fórums da Microsoft. Sua última tentativa foi com o setor de Pirataria e Phishing da Microsoft, que informou não lidar com nada relacionado a Xbox.
Todos na Microsoft recusaram-se a reconhecer esse problema e, por causa disso, gamertags continuam sendo roubadas. A Microsoft pode facilmente corrigir tal problema, enviando um e-mail para seus usuários quando mais de um determinado número de tentativas de acesso sem sucesso for feito à conta e, também, guardando as IDs de sessão destes acessos.
fonte: Joystiq
Posted By Sameera Chathuranga
Lorem ipsum dolor sit amet, consectetur adipisicing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation test link ullamco laboris nisi ut aliquip ex ea commodo consequat contact me
Thank You
Posted By Sameera Chathuranga
0 comentários:
Postar um comentário