Link alla notizia: http://www.gamemag.it/news/quale-hack-per-uso-improprio-account-xbox-live_40268.html

Sembra che alcuni utenti siano riusciti a spiegare come è avvenuta la frode degli account Xbox Live, che nelle scorse settimane ha messo Microsoft nel panico.

Click sul link per visualizzare la notizia.

Si ok ma se in 8 tentativi ti becco la password non doveva essere questa gran password.

Si potrebbe fare la stessa cosa in diversi altri siti non credo si colpa di Microsoft. Al massimo l'unica colpa di Microsoft è quella di aver messo i tentativi a 8 invece di 3 ma non fa molta differenza.

C'è una statistica che mi avevano mostrato durante il corso di Computer Security che diceva che un utente su quattro usa come password la parola "password" ...

C'è una statistica che mi avevano mostrato durante il corso di Computer Security che diceva che un utente su quattro usa come password la parola "password" ...

estremamente furbi ..... :doh:

basta in quegli 8 tentativi provare i seguenti termini:
password
123456
12345678
qwerty
qwertyui
111111
login
e l'id stesso e su qualche milioni di utenti vedrai che ne becchi almeno un centinaio

Sì, ma c'è un modo di saltare il controllo captcha: c'è un link "Accedi con un altro Windows Live ID" che ti permette di tornare alla pagina precedente e che ti fà reinserire di nuovo user e password senza controllo. Se sbagliata ti torna fuori la pagina col captcha, ma si può usare di nuovo il metodo del link e tornare ad inserire una password senza ulteriori controlli.

Quindi alla fine di tentativi se ne hanno finchè se ne vuole e non solo 8. All'inserimento della password corretta si entra nel profilo senza alcun altro controllo (potete fare voi stessi una prova, dato che il Live ID è comune tra i vari servizi di MS).

Con uno script alquanto semplice è facile usare un'attacco bruteforce in modo incontrastato.

si potrebbe utilizzare il sistema di registrazione per ottenere indirettamente le user id? nel senso se provo a generare un nuovo accont ma il nik risulta già utilizzato di solito viene segnalato che l'accaunt è gia esistente. ora immaggiono che per un esperto di programmazione non dovrebbe essere difficile scrivere uno script che tenti la generazione sequenziale di nuovi account e tenere traccia di quelli che risultano già utilizzati. ho detto un' assurdità?

se cosi fosse si dovrebbe rivedere il sistema di registrazione ovvero adottare sistemi
tipo il captcha come prima fase e no come conferma

questo non è il caso di windows live id ma molti siti propongono la verifica della disponibilita dell nik prima di continuare la registrazione

basta essere in qualche cagata tipo una delle miriade mail di S. Antonio:

"Per abbassare il prezzo della benzina"
"I politici quest'anno spendono"

per cui se alla fine del tour, la mail arriva alla persona sbagliata, e la vostra mail è usata come live id, allora molto probabilmente rimarrete registrati a vita nei vari DB che si smerciati e scaricano in giro per internet.

si potrebbe utilizzare il sistema di registrazione per ottenere indirettamente le user id? nel senso se provo a generare un nuovo accont ma il nik risulta già utilizzato di solito viene segnalato che l'accaunt è gia esistente. ora immaggiono che per un esperto di programmazione non dovrebbe essere difficile scrivere uno script che tenti la generazione sequenziale di nuovi account e tenere traccia di quelli che risultano già utilizzati. ho detto un' assurdità?

se cosi fosse si dovrebbe rivedere il sistema di registrazione ovvero adottare sistemi
tipo il captcha come prima fase e no come conferma

questo non è il caso di windows live id ma molti siti propongono la verifica della disponibilita dell nik prima di continuare la registrazione

è scritto chiaramente che i nick se li sono procurati navigando sul web tranquillamente. Alla fine basta andare su un qualsiasi forum dedicato all'Xbox per vedere che molti in firma mettono l'immagine dinamica con i risultati ottenuti (nick, punti degli obiettivi e forse anche MS-Points).

Alla fine anche la Microsoft è stata fregata! xD
Manca qualche notizia su server Nintendo bucati e siamo al completo! xD

Beh intato gli sta bene, a che servono si ms points ? SOlo a farvi spendere la vita su una console inutile, vecchia e dalle prestazione nemmeno paragonabili ad un qualsiasi pc di fascia media di oggi !!

Cmq io adesso vorrei puntualizzare 1 cosa ... ma vuoi credete che un hacker faccia i tentativi sulla pagina web ?
Se devono fare i tentativi lo faranno interrogando direttamente lo script di gestione della pwd non credete ?

E se il sistema consente 8 inserimenti prima di richiedere il captcha ... cosa deve cambiare nelle intestazioni della richiesta affiche' questo non succeda?
CHe dati posso cambiare nella mia richiesta affiche' non mi chieda mai il capcha ?
Posso eseguire le richieste tramite un proxy cosi' da cambiare l'ip di frequente ?

Insomma queste sono le cose che si fanno e che certe aziende dovrebbero considerare, e questo e' solitamente solo l'inizio, oppure sono serie di bimbimikia che provano e provano e provano ed infine la statsitica li aiuta.
E secondo me appunto ricadiamo in questo caso... che cosa te ne fai di ms pts ? Ti danno da mangiare? Da pagare la benza ? La cena alla morosa ? TI aiutano ad andare in f**a ? NON CREDO PROPRIO!!!!

Beh intato gli sta bene, a che servono si ms points ? SOlo a farvi spendere la vita su una console inutile, vecchia e dalle prestazione nemmeno paragonabili ad un qualsiasi pc di fascia media di oggi !!

Cmq io adesso vorrei puntualizzare 1 cosa ... ma vuoi credete che un hacker faccia i tentativi sulla pagina web ?
Se devono fare i tentativi lo faranno interrogando direttamente lo script di gestione della pwd non credete ?

E se il sistema consente 8 inserimenti prima di richiedere il captcha ... cosa deve cambiare nelle intestazioni della richiesta affiche' questo non succeda?
CHe dati posso cambiare nella mia richiesta affiche' non mi chieda mai il capcha ?
Posso eseguire le richieste tramite un proxy cosi' da cambiare l'ip di frequente ?

Insomma queste sono le cose che si fanno e che certe aziende dovrebbero considerare, e questo e' solitamente solo l'inizio, oppure sono serie di bimbimikia che provano e provano e provano ed infine la statsitica li aiuta.
E secondo me appunto ricadiamo in questo caso... che cosa te ne fai di ms pts ? Ti danno da mangiare? Da pagare la benza ? La cena alla morosa ? TI aiutano ad andare in f**a ? NON CREDO PROPRIO!!!!

Più che altro ti aiutano a mandare in f**a la tua vita sociale! :sofico:

Più che altro ti aiutano a mandare in f**a la tua vita sociale! :sofico: +1 +1 +1 +1

Infatti se gioco gioco e fine che me ne frega di stats o altro e' la stessa cosa che nonmi piace di steam. Faccio 1 esempio giocando a l4d 2 c'e' gente che entra in gioco solo per fare achievents .... ma dico io che ti danno gli achievements ? NULLA la stessa cosa delle medagliette o dei ms pts...

Cmq tornando in topic questi non sono veri e propri attacchi sono "casi" in cui qualcuno e' riuscito a trovare 1 modo per potersi fregare i punti ma questi punti da qualche parte finiranno pure no ? che ms non traccia chi sposta cosa e quando ? I dati saranno anche tanti ma con un paio di analisti isolando utenti e periodo in qualche giorno si puo' andare a vedere dove sono andati a finire e agire di conseguenza non credete ?

Raga buttate quelle console della cippa e tornare a giocare "Seriamente" :D