Hacking, mal wieder

Von Boris, Di, 9. Dez 2008 18:02

Reingefallen! Und zwar ich! Weil ich wohl idiotischerweise bei meiner Windows Live ID eine erratbare Antwort auf die Passwort-Rücksetzfrage hatte, konnte sich kurzfristig jemand des “KugelBlitz” bemächtigen und mit meinen Points ein GTA:San Andreas kaufen. Dumm nur, daß das Xbox Live Security Team dies alles exakt zurückverfolgen kann…

Meinen Account hatte ich in Blitzesschnelle zurück, da der Hacker meine Original-Email nicht verstellen konnte, auf die ich weiterhin Zugriff habe (und weil ich mich mehrmals täglich einlogge, den “Verlust” also ziemlich schnell gemerkt habe). Also auf www.passport.net alle Passwörter umsetzen, die Passwort-Rücksetzfrage auf einen unsinnigen Antwortwert setzen, den man nicht erraten kann, und dann auf der nächsten Xbox 360 den Account wieder herstellen. 1200 Points Lehrgeld sind weg, aber immerhin. Hätte schlimmer werden können.

Was hab ich falsch gemacht: Die Email-Adresse, mit der mein LIVE Account verknüpft ist, war erratbar und die Paßwort-Rücksetzfrage hatte einen erratbaren Wert. Einfaches Beispiel: “Lieblings Roman-Charakter” – da probiert man von Harry Potter bis James Bond mal schnell eine Reihe von Dingen aus und kann Glück haben. (Nein, bei mir war es eine andere Frage und eine andere Antwort und ich hab mich mehrfach selbst geohrfeigt, daß ich diese Antwort genommen habe, denn sie war tatsächlich, obwohl eigentlich falsch und daher vermeintlich sicher, durch Probieren erratbar).

Lösung: Die Antwort auf die Paßwortrücksetzfrage muss immer noch was besonderes enthalten (zusätzliche Charaktere) oder ganz absurd sein. Zum Beispiel statt des Roman-Charakters eine Lieblingsspeise eintragen, oder den Lieblingsmusiker. Oder einfach nur Kauderwelsch eintragen, dieses absichtlich nie benutzen und dann niemals das richtige Passwort vergessen und die richtige EMail-Adresse verlieren.

Mist. Jetzt hab ich was mit Sarah Palin gemeinsam. AAARGH!

21 Antworten für “Hacking, mal wieder”

  1. Homer Morisson sagt:

    Ich hätte jemanden wie Dich trotzdem noch zehntausend mal lieber in der Politk, als jemanden wie Sarah ‘Brainfreeze’ Palin.

  2. n385055 sagt:

    Ich hoffe, dass Du gegen diese unverschämt kriminelle Person rechtliche Schritte einleiten wirst!

  3. fuxx1.0 sagt:

    Mhh, ich hab nicht mehr in Erinnerung, wie es bei XBL ist, aber ich finde es sowieso eine Unsitte, bei den Anmeldeformularen die Passwort-Rücksetzfrage nur aus einem vorgegebenen Fragenpool auswählbar zu machen und nur die Antwort als Freitextfeld zu setzen. Wenn ich zwischen “Mädchenname der Mutter”, “Lieblingsspeise” und “Geburtsort” wählen kann, reichen meine beiden Hände nicht aus, um die Leute abzuzählen, die diese Informationen kennen.

  4. Marc sagt:

    Uhh, jetzt bringst Du hier aber viele auf dumme Gedanken. Wieso geht das überhaupt ohne im Besitz der eMail-Adresse zu sein?

  5. CED RadBAD BOY sagt:

    Das war mal wirklich “Glück im Unglück”, wie man so schön sagt…:)

  6. StoKi sagt:

    Was für Lehrgeld? Du bist nun glücklicher Besitzer eines der besten Spiele der letzten Generation! ^.

  7. Aleph01 sagt:

    Wegen “Dumm nur, daß das Xbox Live Security Team dies alles exakt zurückverfolgen kann”. Hast du da jetzt Glück, wegen der Arbeitsstelle bei Microsoft einen sehr kurzen Draht zu denen zu haben, oder wäre im Fall des Falles jeder in der Lage, die mal schnell auf das Problem aufmerksam zu machen?

  8. Xbox Support anrufen, die geben das an das Security Team weiter, welche den Fall verfolgen und sich den Täter vorknöpfen können. Parallel kann der Xbox Support beim Wiederbeschaffen des Accounts helfen – das ist kompliziert, wenn man sogar den Original-Email-Zugriff verschlampt hat.

  9. FightDog 85 sagt:

    Also ich hab jetzt aus Angst gleich mal die Sicherheitsstufe von meinem Passwort erhöht und mir eine neue “unsinnige” Sicherheitsabfrage einfallen lassen. Hab keine Lust meinen Gamertag mit knapp 100.000GS zu verlieren!

  10. derKlaus sagt:

    Nunja, irgendwann erwischt es da jeden Mal, denk mal an Gabe newell von Valve, der ist da auch schon auf die Schnauze gefallen. Sogar mein Arbeitgeber hat sich da im Sommer einen Klops geleistet. Zum Glück hats der CC rausbekommen, blöderweise haben die das aber auch sofort veröffentlicht. Das war zu dem Zeitpunkt ziemlich blöd. Grad daß wir nicht in einem Atemzug mit der Telekom genannt wurden. Die Points sind aber weg, denke ich. 1200 Points, das hätte schlimmer kommen können. Es is tdan doch am besten, das Points konto immer nur für eine Prepaidkarte oder so aufzuladen, außer man wills gleich verballern ;)

  11. Bash sagt:

    Mit TPM wäre das nicht passiert…

    (das war Zynismus)

    Mal im Ernst: ich habe seit Jahren hier einen Chipkartenleser stehen. Benutzen will ihn nur niemand. Statt dessen quäl ich mich mit hunderten von Logins rum… vor 8 Jahren habe ich mir bei Amex die Bluecard besorgt, weil die nen Chip hatte. Wurde nicht benutzt. Am Ende haben sie die Karte platt gemacht und mir ne grüne angeboten. Nein Danke.

    Im Moment versuchen sie, die Geldkarte ins Internet zu bekommen – noch so eine Idiotie.

    Ich versteh das alles nicht, es müsste doch für solche Dinge praktikablere Lösungen geben. (praktikabler als meine ID ins Motherboard zu löten). Die Leute kaufen sich für hunderte von Euro Grafikkarten aber einen 15 Euro Kartenleser ohne Display (ich hab einen mit für 55 Euronen) das will sich keiner reintun. Statt dessen lieber alle zwei Jahre mit dem Kreditkartenunternehmen telefonieren, weil mal wieder die Karte mißbraucht wurde Mir passiert das wirklich alle zwei Jahre ohne dass ich jemals gehackt wurde – einfaches Abschreiben im Restaurant auf meinen Reisen hat noch immer gereicht bisher, das letzte Mal waren’s 45000 Euro Schaden.

    Ich weiß ich hab das jetzt alles sehr weit gefasst aber eine Kreditkarte mit Chip wäre so eine schöne Lösung…

  12. daniel c w sagt:

    Mir hat mal eine Dame vom Xbox Kundensupport empfohlen, dort nicht die Antwort auf die Frage zu schreiben, sondern einfach eine Art zweites Passwort zu setzen.

    Hat diese Idee bei Microsoft/Xbox noch nicht die Runde gemacht?

  13. Schnake227 sagt:

    Also, das dass einem Microsoft Mitarbeiter passiert grenzt meine meinung nach schon fast an Ironie, aber das zeigt auch gleichzeitig das nicht jeder Mensch Perfekt ist und selbst wenn man grosse kenntnisse hat, eine Ganz kleine Wissenslücke grössere folgen haben kann. Mir wurde auch schonmal eine E-mail Adresse von MSN gestohlen aber da war ich es selbst schuld, wobei es rein gar nichts mit MSN selber oder sonstwas zu tun hatte, Ich war in einem Chat unterwegs wo auch ein paar “nicks klauer” unterwegs waren. Dachte ich mir gut, du hast ein nick dem du eh nicht benutz, dem kannst du dir ruhig klauen lassen weil es ihm genau so wie dir nichts bringen wird. Nur dabei hatte ich vergessen das ich meine E-mail adresse eingetragen hatte mit genau dem gleichem Passwort. Und ja, keine 2 minuten später war nicht nur der Nickname weg, sondern auch mein Hauptnick und mein E-mail adresse. Habe es noch geschafft es mit ihm so zu verhandeln das er mir mein Nickname wieder zurück gibt, aber wo er danach weg war, war meine E-Mail adresse mit meine ganze kontakte weg. Am selben tag habe ich mir kurzer hand eine neue erstellt mit verstärkte sicherheit, ein Einmaliges Passwort was sonst nirgendwo von mir verwendet wird und Eine unsinnige Antwort auf die Frage, ich wusste nicht das meine Tieren wie eine stadt heissen, wobei ich gar keine Tieren habe ;)

  14. sonnendeck sagt:

    “Sarah Palin gemeinsam. AAARGH!” ne Boris das wünscht du dir vielleicht, aber die gute Frau kommt nicht aus dem Geschäft das mit der IT was zu tun hat. Wir drehen dir erstmal angewidert den Rücken zu ! *GGG* Aber ehrlich gesagt verstehe ich das schon in homogenen netzen, in denen die Geräte auch noch registriert werden wenn Sie auf den Marktplatz zugreifen. Also den würde ich nicht als Hacker bezeichnen, sonst hast du mit denen auch noch Arger, die haben auch einen Berufsethos.
    Aber in Endeffekt, zeigt das nur eine andere Facette von Datenmissbrauch, ich habe es schon am Anfang des Internet nicht verstanden, warum Auto´s Nummerschilder und ich einen Ausweis haben muss, ich aber im Internet anonym surfen darf.

  15. Cedric sagt:

    “Failure by Design” würde ich mal locker sagen. Die Frage die sich mir stellt: Wieso ist es möglich einen Account zu “hijacken” ohne Zugriff auf die angegebene E-Mail-Adresse zu haben. Jedes halbwegs anständige Authentifizierungs-System verwendet einen Ablauf wie etwa Login falsch -> Sicherheitsabfrage -> Kennwort zurücksetzen -> Kennwort an die angegebene E-Mail-Adresse versenden.

  16. jot sagt:

    “Lösung: Die Antwort auf die Paßwortrücksetzfrage muss [...] ganz absurd sein.”

    Ist DAS wirklich die Lösung? Dann kann man sich die Passwortrücksetzfrage doch auch gleich sparen…

  17. Z3R0B4NG sagt:

    Das diese dummen Fragen ein Sicherheitsrisiko sind ist eigentlich bekannt, wundert mich dass das überhaupt noch so oft genutzt wird.
    Ich hau da immer nur wild auf die Tasten mein Passwort vergess ich eh nie! Ich hab eher Probleme mit den Usernamen, ZeroBANG, ZeroB@NG, ZeroB4NG, Z3R0B4NG…. da weis ich manchmal nicht was für einen ich wo benutzt habe aber da hilft dann ausprobieren meistens.

    Das PSW hab ich auch so schnell reingehackt (mit einem Finger) das sieht das menschliche Auge nicht mehr, kann also auch keiner der mal zufällig auf die Tastatur schielt nachvollziehen (habs schon mit mehreren Kumpels probiert ob die das abkucken können).

  18. Souljumper sagt:

    Was genau passiert eig. wenn man sowas macht und zurückverfolgt wird ?
    Ausschluß aus dem LIVE-dienst oder schon etwas konkreteres wie eine Anzeige ?

  19. Da es gerade überhand nimmt, hier zwei generelle Antworten und dann Schluß.

    * Seinen Points-Stand und seine Einkäufe kann man auf https:\\billing.microsoft.com prüfen.

    * Wenn der Account geklaut wurde, bitte beim Support anrufen, langsam und deutlich erklären was Sache ist und, falls noch ein “Neuer” in der Leitung ist, freundlich einen Vorgesetzten verlangen, der die Problematik kennt. Und ja, der Prozess ist langwierig und mit vielen Prüfungen versehen, gerade damit der Support nicht als Hack-Instrument missbraucht wird.

    Bei mir sind keine Infos oder individuelle Hilfe zu holen, da ich auf Kundendaten keinen Zugriff habe.

  20. hdgamer sagt:

    Hmmm – mir ist tatsächlich meine Email-Addy abhanden gekommen ( eigene Domain, aufgegeben, nicht an den Live Account gedacht ), mir war der Aufwand dann auch zu groß und ich habe jetzt einen neuen Account.
    Wirklich einfach lässt sich sowas nunmal nicht machen, entweder einfach oder sicher – ich bin für sicher, auch wenn man für die eigene Dusseligkeit dann einen Preis zu zahlen hat.

Panorama Theme by Themocracy