Sicherheitslücke in Xbox Live legte E-Mail-Adressen zu Gamertags offen

Sicherheitslücke in Xbox Live legte E-Mail-Adressen zu Gamertags offen

Microsoft hat eine Sicherheitslücke in seinem Xbox Live Netzwerk geschlossen, welche es erlaubte, die zu einem Xbox Gamertag gehörende E-Mail-Adresse auszuspähen. Die Lücke steckte ausgerechnet Xbox Enforcement Portal, auf dem Microsoft über Sicherheit und Verhaltenscodex informiert und über das man Kontakt mit dem Richtlinien-Team aufnehmen kann.

Ein Hacker hatte sich in der letzten Woche beim Magazin Motherboard gemeldet und behauptet, er könne zu jedem beliebigen Xbox Gamertag die zugehörige E-Mail-Adresse ermitteln. Testweise schickten ihm die Journalisten zwei Gamertags dazu, einen davon hatten sie unmittelbar davor frisch angelegt, um sicher zu gehen, dass der Hacker nicht mit einer gestohlenen Datenbank arbeitet, sondern wirklich Zugriff auf die echten Daten hat. Nach wenigen Sekunden kam die Antwort mit den korrekten E-Mail-Adressen.

Motherboard kontaktierte daraufhin Microsoft, die den Fehler behoben. Das Microsoft Security Response Center (MSRC), erste Anlaufstelle für externe Meldungen zu Sicherheitsproblemen, hatte die Schwachstelle zunächst als nicht kritisch eingestuft und mitgeteilt, dass eine E-Mail-Adresse zwar grundsätzliche eine sensible Information sei, da sich daraus aber kein unmittelbares Sicherheitsrisiko ergibt, werde man das nicht weiterverfolgen. Gleichwohl habe man die Information an das zuständige Team weitergeleitet. Dort sah man das offenbar anders und wurde sofort aktiv.

Der anonyme Tippgeber hatte Motherboard gebeten, die Story erst zu veröffentlichen, wenn der Fehler behoben sei, denn die Vorgehensweise wäre derart simpel, dass man in wenigen Minuten herausfinden könne, wie es funktioniert. Die Lücke ähnelte offenbar jener, die es einst bei Instagram ermöglichte, die E-Mail-Adressen zu bestehenden Accounts zu ermitteln. Weitere Sicherheitsexperten, mit denen Motherboard sprach, zeigten sich wenig überrascht und gaben an, dies sei „seit Jahren bekannt“ und man wundere sich, dass es so lange funktioniert habe.

Artikel im Forum diskutieren (0)

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als zwölf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!
Nach oben