Xbox Live złamane

[dawid_dj 0]

Witam

 

Pragnę poinformować wszystkich benchmarkowców, że zabezpieczenia usługi Xbox Live zostały złamane. Wczoraj wieczorem ok. godziny 22:00 moje konto zostało przejęte przez nieznaną mi osobę. Nie ma dostępu do swojego profilu, a saldo z MS Pointsami zostało wyczyszczone.

 

Scenariusz wyglądał następująco:

1. Gram w Battlefielda 3 po sieci.

2. Dostaje komunikat obłędzie, że dane do konta (gamertag: dawiddj83) są niepoprawne. Żeby odzyskać konto muszę skorzystać z opcji odzyskania konta xbox live.

3. Wpisałem dane, którymi posługuję się na co dzień do zarządzania kontem Xbox Live, ale komunikat systemowy brzmiał, że dane są niepoprawne.

4. Skoro nie dało się zalogować z poziomu z konsoli, odapliłem lapka i chciałem się dostać do konta xbox live przez serwis www.

5. Wprowadzone dane na serwis Xbox live również były niepoprawne. Poprosiłem o zresetowanie hasła.

6. W mgnieniu oka przyszedł mail od MS w celu zresetowania hasła. Hasło zostało zresetowane.

7. Zalogowałem się przez stronę www na swoje konto, ale nie pojawił się mój profil dawiddj83, tylko całkiem nowe nieznany mi formularz na stronie, który prosił o podanie imienia. W pierwszej chwili pomyślałem, że albo zostałem przekierowany na lipną stronę albo MS dokonuje reorganizacji kont już istniejących. Szybki telefon do brata, czy jemu działa usługa Xbox live - Tak działa, wszyscy grają - odpowiedział brat, Podałem potrzebne informacje, jak się okazało zostało utworzone nowe konto w usłudze Xbox live.

8. W między czasie na skrzynce e-mail znalazłem dziwną wiadomość o następującej treści:

 

 

Dear dawiddj83,

 

Your points transfer transaction is successful.

 

Date: 27 October 2011

Points transferred from your account: 2680

Current Balance: 0

 

To view or change your billing account, go to https://billing.microsoft.com, and select one of the following options:

• To update payment information, click on the payment method's link under 'Payment type', on the next page click 'Go to payment method information', and on the next page click 'Edit payment method information'.
• To view a billing statement for a payment method, click the payment method's link under 'Payment type'.

Please review your current account status online to check the details of your new points balance. Thank you for using Microsoft Online Services.

 

 

Microsoft Customer Support

 

 

Note: Please do not respond to this message.

To receive notifications at a different e-mail address, sign in to your account at https://billing.microsoft.com, select 'Go to personal information', then click 'Edit personal information', change the 'Contact e-mail', and click 'Save'.

For more information on online safety visit http://www.microsoft.com/phishing.

 

 

Microsoft respects your privacy, to learn more, please read our online privacy statement at http://go.microsoft....k/?LinkId=74170

 

Microsoft Corporation

One Microsoft Way

Redmond, WA 98052

 

2929 N Central Avenue

Suite 1400

Phoenix, AZ 85012

 

Form: 60

 

 

9. Zalogowałem się na stronę bilingową https://billing.microsoft.com. Zobaczyłem, że mam dwa rachunki:

9.1. Rachunek z Xbox Live w UK przed migracją konta

9.2 Rachunek z Xbox Live w Polsce - aktualny przypisany do konta dawiddj83

10. Na rachunku do konta dawiddj83 zobaczyłem, że zostały wydane MS Points

 

 

Operacje na punktach Microsoft Points

Podsumowanie za okres Październik, 2011 Początkowe saldo punktów: 3 400 Wykorzystane punkty: -3 400 Punkty dodane: 0 Bieżące saldo punktów: 0

 

 

Często zadawane pytania

• Jak czytać tę stronę?
• Jak się uzyskuje punkty?
• Gdzie jest mój obiekt?
• Co oznacza pojęcie „zmiana z/zmiana na”?
• Wyświetl więcej

Okres wyciągu: Bieżące saldo punktów: 0 Data Opis transakcji Szczegóły Typ Kwota Saldo 2011-10-27 Zmiana na: -- Punkty -2 680 0 2011-10-27 DUŻA ZŁOTA PACZKA PREMIUM -- Materiały konsumpcyjne do gier -240 2 680 2011-10-27 DUŻA ZŁOTA PACZKA PREMIUM -- Materiały konsumpcyjne do gier -240 2 920 2011-10-27 DUŻA ZŁOTA PACZKA PREMIUM -- Materiały konsumpcyjne do gier -240 3 160 Początkowe saldo punktów: 3 400

 

 

 

Na bilingu widać, że zostały wydane na dodatek do gry Fifa 12 - Duża Złota Paczka Premium, a resztę salda wyprowadzono z mojego konta.

11. Zalogowałem się na swoje nowe konto w usłudze Xbox live i chciałem zobaczyć czy moje konto dalej istnieje poprzez opcję dodaj przyjaciół. Jak się okazuje moje konto było aktywne i ktoś obecnie grał w grę Fifa 12.

12. Zdałem sobię sprawę, że moje konto jest w posiadaniu złodzieji. Opytałem pana Googla o kredziaż kont i znalazłem kilka informacji na ten temat

 

http://polygamia.pl/...niach.html?bo=1

 

http://forums.xbox.c...215/464793.aspx

 

13. Po północy położyłem się do łóżka. Zasnąć nie szło.

14. Z samego rana próbowałem skontaktować się MS. Tutaj zaczynają się schody. Na różnych stronach różne informacje o numerach telefonu i godzinach urzędowania. Połączenie na infolinię 00800 441 17 96 z telefonu komórkowego lub Skype jest niemożliwe. Za każdym razem nie było można zralizować połączenia. Szukałem jakiegoś kontaktu do siedziby w Polsce i znalzłem pod numerem (22) 594 10 00. Tam odezwał się pan automacik, połączyłem się z konsultantem, ale oczywiście trafiłem tam gdzie nie trzeba. Dostałem kolejny numer 22 594 19 99, też pan autoamcik i wkońcu konsultant. Konsultant stwierdził, że nie jest wstanie mi pomóc i mam dzwonić na ogólną infolinie. Powiedziełem, że nie mogę się znimi połączyć więc rozmowa została przekierowana na ów właściwy numer.

15. Po ok 10 minutowej rzeczowej rozmowie zgłoszenie zostało przyjęte. Teraz mam czekać do 31 dni, aż sztab ludzi wyjaśni tą sprawę. Microsoft powiedział, że w takich przypadkach odzyskują konto gracza z przed włamania i zwracają MS Pointsy. Będą mnie informować mailowo lub telefonicznie.

16. Z całą sprawą chciałem się zgłosić na Policję. Wykonałem telefon do KPP Świdnica. Dyżurny powiedział, żebym wydrukował możliwie potrzebne materiały, które mogą coś wnieść do sprawy i przyszedł na komendę.

17. Wszystko pod górkę . Najpierw skończył się papier w drukarce ( pierwsza wizyta w sklepie) potem skończył się tusz (druga wizyta w sklepie), aż w końcu udało mi się stosowne dokumenty przygotować (bilingi z konta, informacje o koncie skradzionym, stosowne e-maile z xbox live do mojego konta.)

18. Na komendzie poczekałem 40 minut zanim zajął się mną policjant. Mówie, że została skradziona tożsamość elektroniczna itp. Policjant stweirdził, że w tej sprawie nie jest specjalnie kompetentny i podał namiary na drugiego kolegę, który zaczyna służbę za 40 minut.

19. Zjadłem obiad, umówiłem się na spoktanie z funkcjonariuszem i opowiedziałem całą historię. Na samym początku uprzedził mnie, że szansa na znalezienie winnego jest znikoma, bo utracone mienie szacowane na ok 300 zł (150 zł za konto live gold + 150 zł za 3400 MS Points) to nie zawiele, a jak serwery są poza granicami Polski to będą schody (cała biurokracja, prokuratura itp.) i raczej sprawa zostanie umożona z braku możliwości wykrycia sprawcy. Mimo wszsystko złożyłem stosowny wniosek o znalezienie winnego i ukaranie go.

20. Obecnie dzielę się to informacją z wami.

 

 

Od razu utne głupie komentarze, że stosowane przeze mnie były słabe hasła lub udostepniłem je komuś. Z zawodu jestem informatykiem i wiem jakie to ma znaczenie.

 

Fakt faktem - login do usługi xbox live jak i do ea origin był identyczny, hasła też - a znaki na niebie i ziemi (info z www) wskazują że te dwie platformy mają wiele wspólnego w podobnych przypadkach kradzieży. Zgadza się, hasła nie powinny się powtarzać, ale kto spamięta 10 - 20 różnych haseł do różnych platform? Jeżeli ktoś ma na to lekarstwo to bardzo proszę o info.

 

Obecnie zmieniłem hasła do platform xbox live i ea origin na dwa różne silne hasła. Do skrzynki e-mail takze zmieniłem hasło.

 

Informować o tym GIODO? Udać się z tym do mediów, żeby nagłośnić sprawę? Co dalej?

[JoHnNy08PL 184]

Tytuł jak na onecie, rly xD

 

Nic nie jest złamane, po prostu ktoś przejął ci konto

Z tymi mediami to bez przesady. Też miałem na gmailu że ostatnie logowanie do konta było z Hiszpanii, trochę zonk ale zmieniłem hasła i jest OK

[elkey 25]

To minus dla Microsoftu i X-Box live ale na skandal to jeszcze za mało. Skandal to był niedawno z PSWorld. Tam skradziono ~50.000 danych kart kredytowych. Moje też na szczęście do dziś nie słyszałem o tym, że któryś z użytkowników stracił pieniądze. Swoją drogą przestępczość internetowa zaczyna rosnąć jak na drożdżach i nikt poważny już jej chyba nie bagatelizuje. Ogólnie taka akcja jak z Sony bardzo zaburza poczucie bezpieczeństwa w sieci tak mocno kreowane przez dzisiejszy świat elektroniczny.

Edytowane 2 Listopada 2011 przez elkey

[Mixtape 1765]

Raczej na odzyskanie konta nie masz co liczyć niestety/ Ale bardzo dobrze to wszystko opisałeś i jest mi Ciebie szkoda Tak to bywa czasem i tego nie zmienisz. Internet to najniebezpieczniejsze miejsce na świecie.

[dawid_dj 0]

Witam ponownie

 

Sprawa mojego konta Xbox Live dla tagu gracza dawiddj83 została załatwiona.

 

W dniu 24 listopada otrzymałem od MS dwie wiadomości na alternatywnego e-maila, którego podałem przy zgłoszeniu kradzieży konta.

 

Pierwszy e-mail dotyczył informacji o zakończeniu dochodzenia przez zespół dochodzeń Xbox Live, który stwierdził nieautoryzowany dostęp do mojego konta. W treści maila była opisana cała instrukcja postępowania przywrócenia konta.

 

Dear Xbox LIVE Customer,

 

We have completed our investigation of the unauthorized access to your Xbox LIVE account. As part of our investigation, we took temporary control of your Xbox LIVE account and the associated Windows Live ID. This was done to protect your account until you could take back control of it.

 

To take control of your account, we had to assign a temporary Windows Live ID to your account. According to our Xbox LIVE Terms of Use, you can only change your Windows Live ID once every 30 days. So you'll need to wait 30 days before you can change the Windows Live ID associated with your account. In the meantime, you can use your Xbox LIVE account with the temporary Windows Live ID. Here's how:

 

Step 1: Reset your Windows Live ID password

 

1. Check your email in the next 24 hours for a password recovery email from the Windows Live Team.

 

2. Use the link in the email to reset your Windows Live ID password. The stronger your password, the better. For tips on creating strong passwords, see Creating a strong password for your email account.

 

Note If the reset link expires or you can't find the password recovery email, go to www.accounts.live.com, type your Windows Live ID, and then click Forgot your Password? You can also respond to this email, and we'll email you the password recovery email again.

 

3. Update the security information for your Windows Live ID. We strongly suggest that you not skip this step because it will help you protect your account from future attacks. Your security information includes your alternative email, secret question, mobile phone number, and trusted PC.

 

 

 

Once your Windows Live ID password is reset, you're ready for Step 2.

 

 

 

Step 2: Recover your Xbox LIVE gamertag on your console

 

Complete the following steps on your console:

 

1. If you're signed into Xbox LIVE with another gamertag, press the Guide button on your controller, and then press X to sign out.

 

2. Press the Guide button again, and then select Recover Gamertag.

 

3. Enter your Windows Live ID and password when prompted.

 

4. Follow the on-screen instructions.

 

 

See Move, delete, or recover your Xbox LIVE gamertag for more information about the how to recover your gamertag.

 

 

 

Step 3: Check for unauthorized account changes and purchases

 

1. Check to see if your gamertag was changed while your account was out of your control. If your gamertag was changed, we'll give you 800 Microsoft Points so that you can change your gamertag back to what it was originally, or choose a new gamertag.

 

2. Check your avatar to make sure it wasn't modified while the account was out of your control. If your avatar was modified, change your avatar so that it doesn't violate the Xbox LIVE Terms of Use.

 

3. Check the charges on your account: Learn how to check your Xbox LIVE bill.

 

· Our investigation revealed that no purchases were made while your account was out of your control.

 

 

 

Step 4: Play on! Enjoy a free extension to your Xbox LIVE membership

 

We're sorry for any inconvenience this issue may have caused you. To make up for lost gaming time, we'd like to extend the time on your Xbox LIVE membership by giving you the following prepaid code:

 

kod przedpłacony 1 Mo Live Gold

kod przedpłacony 1 Mo Live Gold

 

Redeem this prepaid code on your Xbox LIVE account. (Learn how to redeem a prepaid code.)

 

To learn how to keep your account safe from scams and other attacks, go to xbox.com/security. Don't forget that you can change the Windows Live ID associated with your account in 30 days.

 

Thanks for your understanding and patience while we resolved this problem, and thanks for being a member of Xbox LIVE!

 

Sincerely,

 

 

 

The Xbox LIVE Investigations Team

 

Contact Xbox Support

 

Co ciekawe z treści maila wynika, że nie stwierdzono żadnych zakupów na koncie w trakcie okresu kradzieży. A wcześniej wyprowadzili z mojego konta 3400 MS Pointsów.

 

Na skrzynce był już drugi e-mail, w którym były namiary na nowe tymczasowe konto w usłudze Windows Live ID, do którego jest przypisane odzyskane konto dawiddj83. Mail zawierał linka do zresetowania hasła.

 

Po powrocie do domu zgodnie z instrukcją odzyskałem swój tag gracza. Ale jak się okazało, nie było tam mojej usługi Xbox Live Gold, która docelowo była opłacona do początku lutego, oraz nie było 3400 MS Pointsów. Oczywiście wykorzystał kody, które otrzymałem w ramach przeprosin i miałem 2 miesiące konta Gold.

 

Następnego dnia z rana o godz. 8:00 przedzwoniłem na infolinię działu wsparcia, co ciekawe trafiłem na osobę która wcześniej przyjmowała jedno ze zgłoszeń dot. kradzieży. Wyjaśniłem, że konto odzyskałem, ale bez mojego opłaconego Live Gold oraz MS Pointsów. Oczywiście wyraziłem swoje niezadowolenie i obawy, żeby całą procedura nie trwała kolejnych 4 tygodni. Dobry człowiek z MS powiedział, że przekaże sprawę wyżej, teoretycznie czas reakcji w takim przypadku wynosi ok 7 dni roboczych. Obiecał tego samego dnia skontaktować się ze mną telefonicznie po godz 15.

 

Po niecałej godzinie od zgłoszenia (godz. 9:00) otrzymałem e-maila, w którym rozpatrzono jedną część zgłoszenia i otrzymałem kody na moje 3 miesiące Live Gold + 1 Live Gold w ramach przeprosin. Kody prędko wykorzystałem. Za chwilę otrzymałem telefon od działu wsparcia, że pierwsza część mojego zgłoszenia została przed chwilą załatwiona i mam maila na skrzynce wyrównującą wcześniej opłacony przeze mnie konto Gold. Ale na zwrot MS Pointsów muszę czekać do ok. tygodnia czasu.

 

Jak się okazało MS w mojej sprawie zadział bardzo szybko i 3400 MS Pointsów zostało mi zwrócone tego samego dnia przed godziną 14:00.

 

Sprawa została rozwiązana pomyślnie, a w ramach przeprosin otrzymałem dodatkowo 3 miesiące Live Gold.

Natomiast szkoda, że takie zajścia wogóle mają zajścia, bo człowiek traci nerwy, czas i pieniądze na rozmowy z działem wsparcia.

[pastorek 2]

Mnie chyba też dziś to dopadło i du*a blada a najlepsze jest to że konto z punktami na Allegro kupiłem i dziś chciałem się do tego konta zalogować i nie dało się a jeszcze pare dni temu mogłem.Ale jest ta to rada by nie kradli i jutro tak zrobie z wszystkimi kontami, trzeba utworzyć nowe ID na www.live.com zalogować się na konsoli na danym profilu i zmieniamy ID na nowy już dziś tak zrobiłem jedno konto i jest spoko

[Marabuts 10]

MS wyjaśniał, że to sprawka ataku phisingowego na użytkowników, a nie złamana zabezpieczeń samych kont Xbox Live. Choć oczywiście gdzie leży prawda.