Eine kleine Gruselgeschichte als Nachschlag zu meinem gehackten XBL-Account:

(via HackedOnXbox.com)

—Schnipp—
We have all read some pretty horrific tales from gamers worldwide in recent months; from accounts being migrated to Russia, to large amounts of money being stolen. The story you are about to read takes this ‘hacking’ epidemic to a whole new level.

Yesterday evening a teenager is playing Call of Duty: Blacks Ops on his Xbox. He is gaming with a few friends when a new gamer suddenly joins in the on the conversation.

“Some dude just popped out of nowhere, and basically said he’s going to hack me, he’s going to get my information, call the swat team over to my front yard.”

Like most people would, he shrugged the threat off and carried on gaming. Who would honestly believe some twat running their mouth on XBL after all? What happens next is no short than terrifying.

Lewisville police station receive a phone call from an operator with the AT&T Instant Message Relay Service. This message system is made for people who have hearing difficulties and allows them to easily communicate with someone via a standard telephone. The operator said they had received a message that a person within the teenagers house had been shot and that someone was still inside the house shooting. According to the news report the hacker was claiming to be the person who had been shot.

The teenager was still gaming when the first responding officers turned up, weapons at the ready. An officer with a megaphone began calling his name.

“We were all scared, out of our minds, didn’t understand why they were here. We thought there was some stranger some dude running around our house, hiding behind the boat. We didn’t know. We didn’t expect nothing.”

Freaked out (and no doubt confused too) the family stayed huddled within their house. The teenager’s mother ended up calling the police herself who explained the situation and told the family to come out. The poor gamer has no idea who would pull such a prank (known as Swatting) and police are currently working on a subpoena to try to get the information for the bastard person who made the whole thing up.

This story has me gobsmacked. Not only has someone managed to get hold of this guy’s information, but to do it with such speed is very worrying. This is such a dangerous prank to pull and for a complete stranger to be able to do so via Xbox Live is astounding. I have gotten so used to hearing tales about money being stolen and accounts being rendered unusable that the fact that a hacker can get my home address via my XBL account didn’t even come into my head.

Just what else do we need to ensure we have removed from our ‘secure’ online profiles with Microsoft?”
—schnapp—

Und wenn man sich anschaut, wie viele Zuschriften die Betreiber von HackedOnXbox seit Anfang Januar haben, dürfte es klar sein, daß es irgendwo eine Lücke geben muß, die selbst für Kiddie-Hacker angreifbar ist. Wundert mich aber auch irgendwie nicht, bei dem ganzen Rumgemauschel mit EA. Schonmal bemerkt, daß bei wirklich JEDEM EA-Game der letzten Monate gleich nach dem Start erstmal gefragt wird, ob man schon ein EA-/Origin-Konto hat? Und die Felder sind auch schon vorausgefüllt? Ein winziges Leck bei EA, und wer weiß wie viele Nutzerdaten da flöten gegangen sein könnten. Und das EA nicht die Größten sind, was Server-Infrastrukturen angeht, wissen wir ja spätestens sei NFS Carbon, wo man mal von Glück reden konnte, wenn die Fotomode- und Statistikserver überhaupt mal funktionierten.

Also Leute, falls ihr es nicht schon aus eigenem Antrieb nach dem PSN-Hack getan habt:

- Das Passwort eurer Windows-Live-ID ändern.

- Eure Bankdaten von eurem XBL-Account abkoppeln. Ja, ist dämlich. Keine MS-Points per PayPal von der Konsole mehr ziehen. Andererseits gibt’s ja noch den GameCodeShop, da dauert es auch nur unwesentlich länger und ich hoffe ja, daß die ihre Kundendaten besser unter Verschluß halten.

- Im Systemmenü Eurer 360 gibt es - ärgerlicherweise gut versteckt - zwei kleine, aber äußerst hilfreiche Optionen. Zum einen könnt ihr dafür sorgen, daß auf jedem anderen Gerät außer eurer Konsole beim Einloggen in den Account das Windows-ID-Passwort abgefragt wird. Sollte - dank dem ersten Punkt oben - schon für etwas Extra-Sicherheit sorgen. Und zweitens kann man eine vierteilige D-Pad- und Knopfkombination anlegen, die bei jedem Live-Login-Vorgang auf der eigenen Konsole (just in case) abgefragt wird. Wenn alles gut läuft, macht ihr das einmal nach dem Anschalten der Konsole und dann habt ihr für die ganze Zocker-Zeit Ruhe - und ein ruhiges Gemüt, wenn die Konsole aus ist. Da sich MS nach jeder Profiländerung eine Kopie des Profils auf die Server holt, wird jedes Hackerkiddie also vor einer doppelten Passwort-Knopfkombi sitzen, wenn er sich euren Gamertag auf die Konsole runterholt.

Stay safe!