Durch eine Lücke im Netzwerk von Xbox Live, konnten die Mail-Adressen zu den Gamertags einfach ausspioniert werden.
Schwachstelle zunächst nicht kritisch gesehen!
Xbox Live hatte in seinem Netzwerk eine Sicherheitslücke, diese ermöglichte es die Mail-Adressen zu den Gamertags herauszufinden. Zuständig für die Sicherheit bei Microsoft ist das Microsoft Security Response Center (MSRC). Diese stuften das Problem vorerst als gar nicht kritisch ein. Mail-Adressen sind nach ihrer Ansicht keine sensiblen Daten und auch würde sich hieraus kein Sicherheitsrisiko ergeben. Das MSRC wolle daher das Thema gar nicht erst weiterverfolgen. Das Problem wurde dann allerdings an das hierfür zuständige Team weitergeleitet und diese sahen das Ganze, dann doch etwas anders, wie das MSRC. Das Team wurde sofort aktiv und der Fehler wurde behoben.
Hacker informierte über die Lücke!
Bekannt wurde die Sicherheitslücke durch einen Hacker. Dieser hat sich bei dem Magazin Motherboard gemeldet und auf die Schwachstelle im Netzwerk hingewiesen. Die Schwachstelle war auf dem Portal Xbox Enforcement, auf welchem Microsoft über Sicherheit und den Verhaltenscodex informiert zu finden. Über dieses Portal können Nutzer auch Kontakt mit dem Richtlinien-Team aufnehmen. In seiner Meldung an Motherboard behauptete dieser, das er Zugriff auf die Mail-Adressen zu den Gamertags habe. Egal welcher Xbox Gamertag, er kann die Mail-Adresse zu dieser herausfinden. Um die Information zu verifizieren, sendeten die Journalisten dem Hacker zwei Gamertags. Einer davon wurde auch erst kürzlich erstellt, um sicher zu gehen, dass der Hacker nicht nur auf eine Datenbank zurückgreift. Es dauerte dann wohl nicht lange und die Journalisten erhielten die richtigen Mail-Adressen zu den Gamertags. Das Magazin informierte Microsoft dann auch gleich über die Schwachstelle in ihrem Netzwerk.
Nette Hacker
Damit sich niemand anderes über die Daten hermacht, bat der Hacker, das Magazin Motherboard, die Schwachstelle erst nach Schließung öffentlich zu machen. Es war wohl ein leichtes herauszufinden, wie man an die Mail-Adressen zu den einzelnen Gamertags kommt. Auch bei Instagram gab es eine solche Lücke, hier konnten die Mail-Adressen zu den Accounts ermittelt werden. Beide Schwachstellen sollen sehr ähnlich gewesen sein. Das Magazin Motherboard hatte noch mit anderen Sicherheitsexperten zum Thema gesprochen. Hierbei gab es keine Verwunderung, diese Lücken sind wohl schon „seit Jahren bekannt“.
