Nota del redattore: questa storia è ristampata da Mondo dei computer. Per una maggiore copertura Mac, visita Macintosh Knowledge Center di Computerworld.
Mesi dopo che gli utenti di Xbox Live hanno iniziato a lamentarsi degli account compromessi, ieri Microsoft ha riconosciuto che la colpa è del personale di supporto del servizio, vittime di chiamate "pretestuali" da parte di ladri di identità.
Le segnalazioni di furto di account su Xbox Live hanno fatto il giro dei forum dei suoi membri almeno da dicembre. Ma Microsoft ha risposto solo dopo il noto ricercatore di sicurezza — Kevin Finisterre di "Mese dei bug di Apple" fama - la scorsa settimana è diventato pubblico su come il suo account è stato dirottato.
Fino a venerdì scorso, la società ha affermato solo di non aver "trovato alcuna prova" di una violazione dei dati e che eventuali furti verificatisi potrebbero essere imputati agli utenti che hanno fornito informazioni personali.
Questa affermazione è cambiata ieri. "Un ricercatore di sicurezza, Kevin Finisterre, ha scoperto non un hack, ma il fatto che alcuni account potrebbero essere stati compromessi a causa di "ingegneria sociale", nota anche come "pretexting", attraverso il nostro centro di supporto ", ha affermato Larry Hryb, direttore della programmazione di Xbox Live, in un blog iscrizione. “Una volta capito di cosa stava parlando - mi ha inviato alcuni file audio dolorosi da ascoltare - ho confermato che il team è pienamente consapevole di questo problema. Stanno esaminando le politiche e hanno già iniziato a riqualificare il personale di supporto e i partner per aiutarci a ridurre questo tipo di attacco di ingegneria sociale.
“Non c'è altro modo per dirlo; questa situazione non sarebbe dovuta accadere. I nostri clienti meritano di meglio", ha aggiunto Hryb.
È stato fornito il file audio a cui Hryb fa riferimento Mondo dei computer da Finisterre lo scorso mercoledì, ed era uno dei due account utente descritti in una precedente storia sui rappresentanti del supporto Xbox Live e sui pretesti.
Sebbene la maggior parte degli utenti che hanno pubblicato commenti sul post del blog di Hryb apprezzassero il mea culpa, alcuni erano pessimisti riguardo alle possibilità che il supporto potesse effettivamente migliorare. “Nessuna sorpresa qui. Vi abbiamo detto fin dal primo giorno che il supporto Xbox/Xbox Live è uno scherzo", ha scritto qualcuno identificato come TH3Hammer. "Hai ragione... ci meritiamo di meglio, ma ti garantisco che non migliorerà."
“Ho ZERO fiducia nel supporto ms xbox. Nessuno che conosco lo fa neanche”, ha scritto jmel, un altro utente. “Riqualificato? Grazie maggiore, ma [sic] ci vorrà MOLTO di più, e non dovrebbe volerci questo tipo di schifezza per svegliare i decisori di ms.
Molti più utenti, preoccupati non solo per il furto di account, ma anche per la facilità con cui i truffatori sono riusciti a ottenere rappresentanti di supporto per diffondere informazioni personali, ha esortato Microsoft a districare i conti delle carte di credito da Xbox Vivere. "Sarebbe utile se potessimo rimuovere i dati della nostra carta di credito dopo che li abbiamo utilizzati invece di essere memorizzati sul sistema (o anche sulla console) per sempre in attesa di essere pretestati", ha scritto Joergen8.
"Penso che sia giunto il momento di offrire ai tuoi clienti la possibilità di rimuovere completamente i numeri di carta di credito dal servizio", ha affermato Scott, un altro utente. “Quando si tratta di sicurezza, c'è solo completamente sicuro e non sicuro. L'area grigia o lo spazio per il margine di manovra sono inesistenti. Indipendentemente dal fatto che tu creda o meno che sia una possibilità in questo momento che questa informazione potrebbe essere compromessa, la fiducia è stata infranta e Microsoft deve rispettare i diritti dei propri clienti in questo riguardo.”
Finisterre, che ha perso l'accesso al suo account Xbox Live un giorno dopo aver chiamato i membri di un altro clan di Halo per aver barato, non ha ancora ripristinato l'account. Invece, Microsoft gli ha rilasciato un altro account, ha detto in una e-mail. “[La questione] è stata ufficialmente inoltrata a Microsoft Legal”, ha detto, “anche se non ho modo di mettermi in contatto con loro. Ieri ho strappato la loro segreteria telefonica cercando di chiamare qualcuno, ma non ho avuto molta fortuna con la richiamata.
Finisterre ha tenuto una sorta di account corrente sul suo sito DigitalMunition.