Noot van de redactie: dit verhaal is herdrukt van Computer wereld. Ga voor meer Mac-dekking naar Het Macintosh Knowledge Center van Computerworld.
Maanden nadat Xbox Live-gebruikers begonnen te klagen over gehackte accounts, erkende Microsoft gisteren dat het ondersteunend personeel van de dienst in gebreke is gebleven, slachtoffers van "voorwendsels" -oproepen door identiteitsdieven.
Meldingen van accountdiefstal op Xbox Live doen al sinds december de ronde op de ledenforums. Maar Microsoft reageerde pas nadat de bekende beveiligingsonderzoeker Kevin Finisterre van "Maand van Apple-bugs" roem - vorige week werd bekend hoe zijn account was gekaapt.
Nog op vrijdag zei het bedrijf alleen dat het "geen bewijs had gevonden" van een datalek en dat eventuele diefstallen te wijten waren aan het feit dat gebruikers persoonlijke informatie hadden verstrekt.
Die bewering veranderde gisteren. “Een beveiligingsonderzoeker, Kevin Finisterre, ontdekte geen hack, maar het feit dat sommige accounts mogelijk zijn gecompromitteerd als gevolg van 'social engineering', ook wel 'pretexting' genoemd, via ons ondersteuningscentrum', zegt Larry Hryb, programmadirecteur bij Xbox Live, in een blog binnenkomst. “Toen ik me eenmaal realiseerde waar hij het over had - hij stuurde me een aantal pijnlijk te beluisteren audiobestanden - bevestigde ik dat het team volledig op de hoogte is van dit probleem. Ze onderzoeken het beleid en zijn al begonnen met het omscholen van ondersteunend personeel en partners om ervoor te zorgen dat we dit soort social engineering-aanvallen verminderen.
“Er is geen andere manier om het te zeggen; deze situatie had niet mogen gebeuren. Onze klanten verdienen beter”, voegde Hryb eraan toe.
Het audiobestand waarnaar Hryb verwees, is aangeleverd Computer wereld door Finisterre afgelopen woensdag, en was een van de twee gebruikersaccounts beschreven in een eerder verhaal over Xbox Live-ondersteuningsvertegenwoordigers en voorwendsels.
Hoewel de meeste gebruikers die reacties op Hryb's blogbericht plaatsten de mea culpa op prijs stelden, waren sommigen pessimistisch over de kans dat de ondersteuning daadwerkelijk zou verbeteren. “Geen verrassing hier. We hebben je vanaf de eerste dag verteld dat Xbox/Xbox Live-ondersteuning een grap is”, schreef iemand geïdentificeerd als TH3Hammer. "Je hebt gelijk... we verdienen WEL beter, maar ik garandeer je dat het niet beter zal worden."
“Ik heb GEEN vertrouwen in ms xbox-ondersteuning. Niemand die ik ken doet dat ook”, schreef jmel, een andere gebruiker. “Omgeschoold? Bedankt majoor, maar er is VEEL meer voor nodig, en er zou niet zoveel onzin nodig moeten zijn om de besluitvormers bij ms wakker te schudden.
Veel meer gebruikers maakten zich niet alleen zorgen over accountdiefstal, maar ook over het gemak waarmee fraudeurs toegang konden krijgen ondersteuning van vertegenwoordigers om persoonlijke informatie te morsen, drong er bij Microsoft op aan om creditcardaccounts van Xbox te ontwarren Live. "Het zou helpen als we onze creditcardgegevens zouden kunnen verwijderen nadat we ze hebben gebruikt, in plaats van dat ze voor altijd op het systeem (of zelfs de console) worden opgeslagen, wachtend op een voorwendsel", schreef Joergen8.
"Ik denk dat het tijd is om uw klanten de mogelijkheid te geven om hun creditcardnummers volledig uit de service te verwijderen", zei Scott, een andere gebruiker. “Als het om veiligheid gaat, is er alleen volledig veilig en onveilig. Grijs gebied of speelruimte bestaat niet. Of u nu wel of niet gelooft dat deze informatie op dit moment mogelijk is gecompromitteerd, het vertrouwen is geschonden en Microsoft moet de rechten van hun klanten respecteren dat opzicht.”
Finisterre, die de toegang tot zijn Xbox Live-account verloor een dag nadat hij leden van een andere Halo-clan had gebeld wegens valsspelen, heeft dat account nog steeds niet hersteld. In plaats daarvan heeft Microsoft hem een ander account gegeven, zei hij in een e-mail. "[De zaak] is officieel geëscaleerd naar Microsoft Legal," zei hij, "hoewel ik op geen enkele manier met hen in contact kan komen. Ik heb gisteren hun voicemail doorgescheurd om iemand te krijgen, maar had niet veel geluk met het terugbellen.
Finisterre heeft een soort lopende rekening bijgehouden op zijn DigitalMunition-site.