• IT-Karriere:
  • Services:

Datenleck: Xbox-Lücke ermöglichte Auslesen von E-Mail-Adressen

Die E-Mail-Adressen von anderen Xbox-Nutzern konnten über einen einfachen Trick ausgelesen werden.

Artikel veröffentlicht am ,
Über eine Sicherheitslücke konnte herausgefunden werden, wer hinter einem Gamertag steckt.
Über eine Sicherheitslücke konnte herausgefunden werden, wer hinter einem Gamertag steckt. (Bild: Mohamed Hassan/Pixabay)

Eigentlich sollten Dritte auf der Xbox-Plattform nur das Gamertag - so wird der Spieleravatar im Microsoft-Universum genannt - sehen, die E-Mail-Adresse, mit der sich die betroffene Person registrieren soll, bleibt privat. Über eine Sicherheitslücke auf Microsofts Xbox-Webseite war es jedoch möglich, die E-Mail-Adressen auszulesen. Entdeckt wurde die Lücke von mehreren Personen unabhängig voneinander. Mittlerweile wurde sie geschlossen.

Stellenmarkt
  1. Schwarz Dienstleistung KG, Neckarsulm
  2. Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Bagdad

Bis dahin musste nur die Webseite enforcement.xbox.com besucht werden, eine Streitschlichtungsstelle für Microsofts Gamercommunity. Bei einem Login wird ein Cookie gesetzt, in dem Informationen über die Websitzung abgelegt werden, so dass bei einem erneuten Besuch der Webseite kein erneutes Login verlangt wird. Wurde das Xbox-User-ID-Feld (XUID) in diesem Cookie bearbeitet, konnten sich Dritte die E-Mail-Adresse zu anderen Gamertags anzeigen lassen.

Das Problem wurde von verschiedenen Personen an Microsoft gemeldet. Diese haben das Problem serverseitig gelöst und verschlüsseln die XUID nun in besagtem Cookie. Das Onlinemagazin Motherboard berichtet von einem ähnlichen Fehler in Xbox-Live, nennt jedoch keine Details. Auch dieser soll mittlerweile beseitigt worden sein.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

E-Mail-Adressen können für Belästigungen oder Doxing missbraucht werden

Mit der E-Mail-Adresse können die Betroffenen beispielsweise belästigt oder gemobbt werden. Verwenden Betroffene eine E-Mail-Adresse, die ihren Klarnamen enthält, konnte auf diese Weise das Gamertag mit einer realen Person in Verbindung gebracht werden. Auch kann nach der Verwendung der gleichen E-Mail-Adresse in verschiedenen Kontexten gesucht werden. Letztlich kann die Adresse auch für Doxing-Angriffe verwendet werden.

Bei Instagram konnten 2017 ebenfalls die E-Mail-Adressen über eine Sicherheitslücke abgefragt werden. Damals wurden diese massenhaft abgefragt und in einer durchsuchbaren Datenbank veröffentlicht. Anschließend wurden sie für das Doxing von Instagram-Promis, also das Veröffentlichen persönlicher Daten mit bösartigen Absichten, genutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X 511,91€)
  2. ab 2.399€

Folgen Sie uns
       


Geforce RTX 3070 - Test

Die Grafikkarte liegt etwa gleichauf mit der Geforce RTX 2080 Ti.

Geforce RTX 3070 - Test Video aufrufen
Donald Trump: Das große Unbehagen nach der Twitter-Sperre
Donald Trump
Das große Unbehagen nach der Twitter-Sperre

Die IT-Konzerne gehen wie in einer konzertierten Aktion gegen Donald Trump und dessen Anhänger vor. Ist das vertretbar oder ein gefährlicher Präzedenzfall?
Eine Analyse von Friedhelm Greis

  1. Reaktion auf Kapitol-Sturm Youtube sperrt Trump-Kanal für mindestens eine Woche
  2. US-Wahlen Facebook erwägt dauerhafte Sperre Trumps
  3. Social Media Amazon schaltet Parler die Server ab

Quereinsteiger: Mit dem Master in die IT
Quereinsteiger
Mit dem Master in die IT

Bachelorabsolventen von Fachhochschulen gehen überwiegend sofort in den Job. Einen Master machen sie später und dann gerne in IT. Studienangebote für Quereinsteiger gibt es immer mehr.
Ein Bericht von Peter Ilg

  1. IT-Arbeit Es geht auch ohne Chefs
  2. 42 Wolfsburg Programmieren lernen ohne Abi, Lehrer und Gebühren
  3. Betriebsräte in der Tech-Branche Freunde sein reicht manchmal nicht

Boeing 737 Max: Neustart mit Hindernissen
Boeing 737 Max
Neustart mit Hindernissen

Die Boeing 737 ist nach dem Flugzeugabsturz in Indonesien wieder in den Schlagzeilen. Die Version Max darf seit Dezember wieder fliegen - doch Kritiker halten die Verbesserungen für unzureichend.
Ein Bericht von Friedrich List

  1. Flugzeug Boeing erhält den letzten Auftrag für den Bau der 747
  2. Boeing 737 Max Boeing-Strafverfahren gegen hohe Geldstrafe eingestellt
  3. Zunum Luftfahrt-Startup verklagt Boeing

    •  /