Datenleck: Xbox-Lücke ermöglichte Auslesen von E-Mail-Adressen

Die E-Mail-Adressen von anderen Xbox-Nutzern konnten über einen einfachen Trick ausgelesen werden.

Artikel veröffentlicht am ,
Über eine Sicherheitslücke konnte herausgefunden werden, wer hinter einem Gamertag steckt.
Über eine Sicherheitslücke konnte herausgefunden werden, wer hinter einem Gamertag steckt. (Bild: Mohamed Hassan/Pixabay)

Eigentlich sollten Dritte auf der Xbox-Plattform nur das Gamertag - so wird der Spieleravatar im Microsoft-Universum genannt - sehen, die E-Mail-Adresse, mit der sich die betroffene Person registrieren soll, bleibt privat. Über eine Sicherheitslücke auf Microsofts Xbox-Webseite war es jedoch möglich, die E-Mail-Adressen auszulesen. Entdeckt wurde die Lücke von mehreren Personen unabhängig voneinander. Mittlerweile wurde sie geschlossen.

Stellenmarkt
  1. Wissenschaftliche* Mitarbeiter*in (m/w/d) für IT-Sicherheitsforschung / Analyse von IT-Angriffsmethoden ... (m/w/d)
    Universität der Bundeswehr München, München
  2. IT-Spezialist (w/m/d) mit Schwerpunkt Dienstplanung
    Universitätsklinikum Hamburg-Eppendorf, Hamburg-Eppendorf
Detailsuche

Bis dahin musste nur die Webseite enforcement.xbox.com besucht werden, eine Streitschlichtungsstelle für Microsofts Gamercommunity. Bei einem Login wird ein Cookie gesetzt, in dem Informationen über die Websitzung abgelegt werden, so dass bei einem erneuten Besuch der Webseite kein erneutes Login verlangt wird. Wurde das Xbox-User-ID-Feld (XUID) in diesem Cookie bearbeitet, konnten sich Dritte die E-Mail-Adresse zu anderen Gamertags anzeigen lassen.

Das Problem wurde von verschiedenen Personen an Microsoft gemeldet. Diese haben das Problem serverseitig gelöst und verschlüsseln die XUID nun in besagtem Cookie. Das Onlinemagazin Motherboard berichtet von einem ähnlichen Fehler in Xbox-Live, nennt jedoch keine Details. Auch dieser soll mittlerweile beseitigt worden sein.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

E-Mail-Adressen können für Belästigungen oder Doxing missbraucht werden

Mit der E-Mail-Adresse können die Betroffenen beispielsweise belästigt oder gemobbt werden. Verwenden Betroffene eine E-Mail-Adresse, die ihren Klarnamen enthält, konnte auf diese Weise das Gamertag mit einer realen Person in Verbindung gebracht werden. Auch kann nach der Verwendung der gleichen E-Mail-Adresse in verschiedenen Kontexten gesucht werden. Letztlich kann die Adresse auch für Doxing-Angriffe verwendet werden.

Golem Karrierewelt
  1. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    26.07.2022, Virtuell
  2. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    19.-21.07.2022, Virtuell
Weitere IT-Trainings

Bei Instagram konnten 2017 ebenfalls die E-Mail-Adressen über eine Sicherheitslücke abgefragt werden. Damals wurden diese massenhaft abgefragt und in einer durchsuchbaren Datenbank veröffentlicht. Anschließend wurden sie für das Doxing von Instagram-Promis, also das Veröffentlichen persönlicher Daten mit bösartigen Absichten, genutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Krypto-Gaming
Spieleentwickler wollen nichts mit NFT zu tun haben

Die Gamesbranche wehrt sich bislang vehement gegen jedes neue Blockchain-Projekt. Manager und Entwickler erklären warum.
Von Daniel Ziegener

Krypto-Gaming: Spieleentwickler wollen nichts mit NFT zu tun haben
Artikel
  1. Mojo Lens: Erster Tragetest mit Augmented-Reality-Kontaktlinse
    Mojo Lens
    Erster Tragetest mit Augmented-Reality-Kontaktlinse

    Ein winziges Micro-LED-Display, ein Funkmodem, ein Akku - und kein Kabel: Der Chef von Mojo Lens hat seine AR-Kontaktlinse im Auge getragen.

  2. Ouca Bikes: E-Lastenrad für eine Viertel Tonne Fracht oder acht Kinder
    Ouca Bikes
    E-Lastenrad für eine Viertel Tonne Fracht oder acht Kinder

    Ouca Bikes hat ein elektrisches Lastenrad vorgestellt, das eine Zuladung von rund 250 kg transportieren kann. Das E-Bike fährt auf drei Rädern.

  3. Bill Nelson: Nasa-Chef warnt vor chinesischem Weltraumprogramm
    Bill Nelson
    Nasa-Chef warnt vor chinesischem Weltraumprogramm

    Gibt es Streit um den Mond? Nasa-Chef Bill Nelson fürchtet, dass China den Trabanten als militärischen Außenposten für sich haben möchte.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (G.Skill Trident Z Neo 32 GB DDR4-3600 149€ und Patriot P300 512 GB M.2 39€) • Alternate (Acer Nitro QHD/165 Hz 246,89€, Acer Predator X28 UHD/155 Hz 1.105,99€) • Samsung GU75AU7179 699€ • Kingston A400 480 GB 39,99€ • Top-PC mit Ryzen 7 & RTX 3070 Ti für 1.700€ [Werbung]
    •  /