Redaktørens merknad: Denne historien er skrevet ut på nytt fra Computerworld. For mer Mac-dekning, besøk Computerworlds Macintosh Knowledge Center.
Måneder etter at Xbox Live-brukere begynte å klage over hackede kontoer, erkjente Microsoft i går at tjenestens støttepersonell har feil, og er ofre for å "påskudd" anrop fra identitetstyver.
Rapporter om kontotyveri på Xbox Live har gått rundt på medlemsforumene siden minst desember. Men Microsoft svarte først etter kjent sikkerhetsforsker - Kevin Finisterre fra "Måned med Apple Bugs" berømmelse – forrige uke gikk offentlig ut om hvordan kontoen hans ble kapret.
Så sent som fredag sa selskapet bare at det ikke hadde "funnet noen bevis" for et datainnbrudd, og at eventuelle tyverier kunne skyldes på brukere som ga ut personlig informasjon.
Den påstanden endret seg i går. «En sikkerhetsforsker, Kevin Finisterre, oppdaget ikke et hack, men det faktum at noen kontoer kan ha blitt kompromittert som følge av «sosial ingeniørkunst», også kjent som «påskudd», gjennom støttesenteret vårt», sa Larry Hryb, programmeringsdirektør på Xbox Live, i en blogg inngang. «Når jeg skjønte hva han snakket om – han sendte meg noen lydfiler som var smertefulle å lytte til – bekreftet jeg at teamet er fullstendig klar over dette problemet. De undersøker retningslinjene og har allerede begynt å omskolere støttepersonell og partnere for å bidra til å sikre at vi reduserer denne typen sosialingeniørangrep.
«Det er ingen annen måte å si det på; denne situasjonen burde ikke ha skjedd. Kundene våre fortjener bedre," la Hryb til.
Lydfilen Hryb refererte til ble levert til Computerworld av Finisterre sist onsdag, og var en av to brukerkontoer beskrevet i en tidligere historie om Xbox Live-støtterepresentanter og påskudd.
Selv om de fleste brukere som la ut kommentarer til Hrybs blogginnlegg, satte pris på mea culpa, var noen pessimistiske med tanke på sjansene for at støtten faktisk ville bli bedre. «Ingen overraskelse her. Vi har fortalt deg fra dag én at Xbox/Xbox Live-støtte er en spøk», skrev en person identifisert som TH3Hammer. "Du har rett... vi fortjener bedre, men jeg garanterer at det ikke blir bedre."
"Jeg har NULL tro på ms xbox-støtte. Ingen jeg kjenner gjør det heller», skrev jmel, en annen bruker. «Omskolert? Takk major, men det kommer til å ta MYE mer, og det skal ikke så mye til for å vekke beslutningstakerne på ms.»
Mange flere brukere, bekymret for ikke bare kontotyveri, men også hvor lett svindlere var i stand til å få tak i støtterepresentanter for å søle personlig informasjon, oppfordret Microsoft til å løse ut kredittkortkontoer fra Xbox Bo. "Det ville hjelpe om vi kunne fjerne kredittkortinformasjonen vår etter at vi har brukt den i stedet for at den blir lagret på systemet (eller til og med konsollen) for alltid og bare venter på å bli påskudd," skrev Joergen8.
"Jeg tror det er på tide å gi kundene dine muligheten til å fjerne kredittkortnumrene sine fullstendig fra tjenesten," sa Scott, en annen bruker. «Når det gjelder sikkerhet, er det bare helt sikkert og usikkert. Gråsone eller rom for spillerom er ikke-eksisterende. Uansett om du tror det er en mulighet akkurat nå at denne informasjonen kan være kompromittert, tilliten er brutt, og Microsoft må respektere kundenes rettigheter den forbindelse.»
Finisterre, som mistet tilgangen til Xbox Live-kontoen sin en dag etter å ha kalt ut medlemmer av en annen Halo-klan for juks, har fortsatt ikke fått den kontoen gjenopprettet. I stedet har Microsoft utstedt en annen konto til ham, sa han i en e-post. "[Saken] er offisielt eskalert til Microsoft Legal," sa han, "selv om jeg ikke har noen måte å komme i kontakt med dem. Jeg rev gjennom telefonsvareren deres i går for å prøve å få noen, men hadde ikke mye hell med å ringe tilbake.»
Finisterre har ført en slags løpende konto på sin DigitalMunition-side.