Den siste tiden har Microsoft høstet mye kritikk fordi mange personer har fått sine Xbox Live-konti hacket og/eller stjålet.
Kritikken toppet seg da hacker-offeret Jason Coutee hevdet å ha funnet et smutthull i sikkerheten til Xbox.com, som han også hevdet var årsaken til at kontoen hans var blitt stjålet.
Ifølge Coutee var nemlig serverne til Xbox.com satt opp på en måte som gjorde tjenesten sårbar for et automatisert dataprogram, et såkalt brute force-script, designet for å knekke passordet til en gitt konto.
Etter åtte feilskrevne passord etterspurte nemlig systemet en bekreftelse på at den som prøvde å logge seg inn faktisk var et menneske, ved å bruke det kjente Captcha-systemet (som ber brukeren gjengi et forvridd bilde av et kodeord).
Denne Captcha-kontrollen kunne man imidlertid enkelt unngå ved å klikke på lenken merket logg inn med en annen bruker-ID, som ga tilgang på åtte nye forsøk.
Hvis man programmerte sitt brute force-script deretter fikk man essensielt uendelige med forøk på å finne det rette passordet, og derfra var det bare et spørsmål om tid før passordet ble knekt.
Det skal sies at hackeren måtte ha tilgang på den gyldig Windows Live-ID før han benyttet seg av denne metoden, men ved å søke etter en gitt Gamertag skal disse ID-ene visstnok være mulig å få tak i. Man kan også sjekke om en ID er gyldig ved å lese feilmeldingen man får etter en mislykket innlogging.
Microsoft har på sin side hardnakket hevdet at det ikke finnes noe slik smutthull på Xbox.com, og kommentert saken med følgende uttalelse:
- Nettsikkerheten til Xbox Live-medlemmer er svært viktig for oss, og derfor innfører vi fortløpende nye tiltak for å beskytte brukerne mot stadig nye typer trusler. Sikkerhet i teknologibransjen er en løpende prosess der hver nye sikkerhetsløsning blir møtt med en ny angrepstype designet for å knekke løsningen. [...] Det finnes ikke noe smutthull på Xbox.com. Angrepsmetoden som er blitt beskrevet er et eksempel på en brute force-teknikk, en teknikk som er problematisk på tvers av hele bransjen, kommenterer Microsoft.
Coutee selv kjøper ikke forklaringen til Microsoft, men på den positive siden kan han bekrefte at brute force-løsningen hans ikke lenger fungerer. Serverne har nemlig nå ifølge Coutee begynt å sperre innloggingsforsøkene etter 20 feilskrevne passord.
- Fra mitt ståsted ser det ut som de har skjerpet sikkerheten uten å gjøre noen synlige endringer utenfra, slik at de kan avskrive meg. Den gode nyheten er at de har forlenget tiden det vil ta for noen å hacke et passord ved hjelp av brute force, kommenterer Coutee.
Flere dataeksperter har imidlertid tatt Micorosfts side i saken, og uttalt at denne hackermetoden vil ta såpass lang tid å gjennomføre at selskapets teknikere unektelig ville oppdaget den økte aktiviteten før et vellykket angrep hadde funnet sted.
Kilde: Edge.