Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Datenleck: Xbox-Lücke ermöglichte Auslesen von E-Mail-Adressen

Die E-Mail-Adressen von anderen Xbox -Nutzern konnten über einen einfachen Trick ausgelesen werden.
/ Moritz Tremmel
Kommentare News folgen (öffnet im neuen Fenster)
Über eine Sicherheitslücke konnte herausgefunden werden, wer hinter einem Gamertag steckt. (Bild: Mohamed Hassan/Pixabay)
Über eine Sicherheitslücke konnte herausgefunden werden, wer hinter einem Gamertag steckt. Bild: Mohamed Hassan/Pixabay

Eigentlich sollten Dritte auf der Xbox-Plattform nur das Gamertag - so wird der Spieleravatar im Microsoft-Universum genannt - sehen, die E-Mail-Adresse, mit der sich die betroffene Person registrieren soll, bleibt privat. Über eine Sicherheitslücke auf Microsofts Xbox-Webseite war es jedoch möglich, die E-Mail-Adressen auszulesen. Entdeckt wurde die Lücke von mehreren Personen unabhängig voneinander. Mittlerweile wurde sie geschlossen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Teamleiter*in Anwendungsentwicklung (m/w/div) Deutsche Rentenversicherung Bund, Würzburg (öffnet im neuen Fenster)
IT-Architekt/in (w/m/d) mit Schwerpunkt Data Engineering IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Systemadministrator (m/w/d) Talentzeit GmbH, Bielefeld (öffnet im neuen Fenster)
Ausbildung zum Fachinformatiker für Systemintegration (m/w/d) Südkurier GmbH Medienhaus, Konstanz (öffnet im neuen Fenster)
Interimsleitungen Produktmanagement Marktplätze und DVC (m/w/d) Föderale IT-Kooperation (FITKO), Frankfurt (öffnet im neuen Fenster)
Digital Transformation Manager (w/m/d) 50Hertz Transmission GmbH, Berlin (öffnet im neuen Fenster)
SAP Security Architect (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)
Zahntechniker für Verblendkeramik, CAD / CAM (m/w/d) Dr. Bernd Kilimann und Kollegen, Haigerloch (öffnet im neuen Fenster)

Bis dahin musste nur die Webseite enforcement.xbox.com besucht werden, eine Streitschlichtungsstelle für Microsofts Gamercommunity. Bei einem Login wird ein Cookie gesetzt, in dem Informationen über die Websitzung abgelegt werden, so dass bei einem erneuten Besuch der Webseite kein erneutes Login verlangt wird. Wurde das Xbox-User-ID-Feld (XUID) in diesem Cookie bearbeitet, konnten sich Dritte die E-Mail-Adresse zu anderen Gamertags anzeigen lassen.

Das Problem wurde von verschiedenen Personen an Microsoft gemeldet. Diese haben das Problem serverseitig gelöst und verschlüsseln die XUID nun in besagtem Cookie. Das Onlinemagazin Motherboard berichtet(öffnet im neuen Fenster) von einem ähnlichen Fehler in Xbox-Live, nennt jedoch keine Details. Auch dieser soll mittlerweile beseitigt worden sein.

Reklame

Hacking & Security: Das umfassende Hacking-Handbuch mit über 1.000 Seiten Profiwissen. 3., aktualisierte Auflage des IT-Standardwerks (Gebundene Ausgabe)

Jetzt bestellen bei Amazon (öffnet im neuen Fenster)

E-Mail-Adressen können für Belästigungen oder Doxing missbraucht werden

Mit der E-Mail-Adresse können die Betroffenen beispielsweise belästigt oder gemobbt werden. Verwenden Betroffene eine E-Mail-Adresse, die ihren Klarnamen enthält, konnte auf diese Weise das Gamertag mit einer realen Person in Verbindung gebracht werden. Auch kann nach der Verwendung der gleichen E-Mail-Adresse in verschiedenen Kontexten gesucht werden. Letztlich kann die Adresse auch für Doxing-Angriffe verwendet werden.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Bei Instagram konnten 2017 ebenfalls die E-Mail-Adressen über eine Sicherheitslücke abgefragt werden. Damals wurden diese massenhaft abgefragt und in einer durchsuchbaren Datenbank veröffentlicht. Anschließend wurden sie für das Doxing von Instagram-Promis, also das Veröffentlichen persönlicher Daten mit bösartigen Absichten, genutzt.

Zur Startseite Kommentare

Relevante Themen

CookiesSpielekonsoleSicherheitslückeUnterhaltung & HobbySpieleDatenleckXbox Live