Datenleck: Xbox-Lücke ermöglichte Auslesen von E-Mail-Adressen

Die E-Mail-Adressen von anderen Xbox-Nutzern konnten über einen einfachen Trick ausgelesen werden.

Artikel veröffentlicht am ,
Über eine Sicherheitslücke konnte herausgefunden werden, wer hinter einem Gamertag steckt.
Über eine Sicherheitslücke konnte herausgefunden werden, wer hinter einem Gamertag steckt. (Bild: Mohamed Hassan/Pixabay)

Eigentlich sollten Dritte auf der Xbox-Plattform nur das Gamertag - so wird der Spieleravatar im Microsoft-Universum genannt - sehen, die E-Mail-Adresse, mit der sich die betroffene Person registrieren soll, bleibt privat. Über eine Sicherheitslücke auf Microsofts Xbox-Webseite war es jedoch möglich, die E-Mail-Adressen auszulesen. Entdeckt wurde die Lücke von mehreren Personen unabhängig voneinander. Mittlerweile wurde sie geschlossen.

Bis dahin musste nur die Webseite enforcement.xbox.com besucht werden, eine Streitschlichtungsstelle für Microsofts Gamercommunity. Bei einem Login wird ein Cookie gesetzt, in dem Informationen über die Websitzung abgelegt werden, so dass bei einem erneuten Besuch der Webseite kein erneutes Login verlangt wird. Wurde das Xbox-User-ID-Feld (XUID) in diesem Cookie bearbeitet, konnten sich Dritte die E-Mail-Adresse zu anderen Gamertags anzeigen lassen.

Das Problem wurde von verschiedenen Personen an Microsoft gemeldet. Diese haben das Problem serverseitig gelöst und verschlüsseln die XUID nun in besagtem Cookie. Das Onlinemagazin Motherboard berichtet von einem ähnlichen Fehler in Xbox-Live, nennt jedoch keine Details. Auch dieser soll mittlerweile beseitigt worden sein.

E-Mail-Adressen können für Belästigungen oder Doxing missbraucht werden

Mit der E-Mail-Adresse können die Betroffenen beispielsweise belästigt oder gemobbt werden. Verwenden Betroffene eine E-Mail-Adresse, die ihren Klarnamen enthält, konnte auf diese Weise das Gamertag mit einer realen Person in Verbindung gebracht werden. Auch kann nach der Verwendung der gleichen E-Mail-Adresse in verschiedenen Kontexten gesucht werden. Letztlich kann die Adresse auch für Doxing-Angriffe verwendet werden.

Bei Instagram konnten 2017 ebenfalls die E-Mail-Adressen über eine Sicherheitslücke abgefragt werden. Damals wurden diese massenhaft abgefragt und in einer durchsuchbaren Datenbank veröffentlicht. Anschließend wurden sie für das Doxing von Instagram-Promis, also das Veröffentlichen persönlicher Daten mit bösartigen Absichten, genutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
EAH-AZ80 im Test
Technics zeigt Apple und Bose, was tolle Hörstöpsel ausmacht

Die EAH-AZ80 von Technics sind nah dran am perfekten Hörstöpsel. Nur eine Sache stört uns - mit der man sich aber arrangieren kann.
Ein Test von Ingo Pakalski

EAH-AZ80 im Test: Technics zeigt Apple und Bose, was tolle Hörstöpsel ausmacht
Artikel
  1. Royal Navy: Quantennavigationssystem als GPS-Ersatz
    Royal Navy
    Quantennavigationssystem als GPS-Ersatz

    Die Royal Navy testet ein Quantennavigationssystem. Damit will sie weltweit die genaue Lage eines Schiffs bestimmen, ohne auf GPS zurückzugreifen.

  2. Gefälschte Software erhöht Anfälligkeit für Cyberangriffe
     
    Gefälschte Software erhöht Anfälligkeit für Cyberangriffe

    Cyberbedrohungen sind auf dem Vormarsch. Der Einsatz von gefälschter Software erhöht das Risiko, Opfer krimineller Übergriffe zu werden. Unter anderem, weil durch Piraterie erworbene Software keine Sicherheits-Updates liefert.
    Sponsored Post von CPN/Microsoft

  3. Arc Pro A60 und A60M: Intel verdoppelt die Leistung seiner Profi-Grafikkarten
    Arc Pro A60 und A60M
    Intel verdoppelt die Leistung seiner Profi-Grafikkarten

    Die neue GPU für Workstations verdoppelt die Rechenleistung der bisherigen Modelle. Auch eine Mobilvariante kommt, beide mit neuem Chip.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Samsung SSD 8TB 368,99€ • MindStar: Gigabyte RTX 4090 1.599€, Crucial 4TB 169€ • Acer Curved 31,5" WQHD 165Hz 259€ • PS5-Spiele & Zubehör bis -75% • Samsung 990 Pro 1TB (PS5) 94€ • Chromebooks bis 32% günstiger • Bis 50% auf Gaming-Produkte bei NBB • PS5 mit Spiel 549€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /