Beschwerden über geklaute Xbox-Live-Accounts nehmen zu

In Internet-Foren mehren sich Meldungen, in denen Spieler sich darüber beschweren, dass ihr Account zum Online-Dienst Xbox Live, den Microsoft für die Spielkonsole Xbox 360 unterhält, von anderen Spielern geklaut wurde und ihr Kreditkartenkonto durch den Kauf weiterer Xbox-Arcade-Spiele stark belastet wurde. Besonders stark betroffen sind offenbar Clan-Spieler, die regelmäßig an Online-Turnieren teilnehmen. Laut einzelner Berichte hätten Hacker es geschafft, die IP-Nummer der Spieler mit einem Sniffer zu ermitteln und sich mittels des Gamer-Tags unter deren Namen im Xbox-Live-Netzwerk einzuwählen.

Microsoft zufolge soll es aber auf diesem Weg nicht möglich sein, sich die Zugangsdaten zu einem fremden Account zu verschaffen. "Die Gerüchte, wonach Xbox Live gehackt worden ist, sind falsch", erklärt Felix Petzel, Sprecher von Microsoft Deutschland gegenüber heise online. Das System sei nach wie vor sicher. Ein Account sei durch drei Merkmale gesichert: den Gamertag, die Windows Live ID und den Windows Live Passport. Ein Angreifer müsste sich also dieser Daten bemächtigen, um einen Account zu übernehmen. "Die Xbox identifiziert sich über eine interne GUID, die Übermittlung ist verschlüsselt. Es kann immer nur eine GUID unter einem Gamertag eingeloggt sein. Der Gamertag kann nur auf einem einzigen Medium (entweder Festplatte oder Memory Unit) gespeichert sein, da er an die ID des Mediums gebunden ist. Eine direkte Kopie ist also nicht möglich. Daher ist das dargestellte Szenario nicht vorstellbar", erläutert Petzel. Die GUID ist auf der Xbox 360 mit einer vierstelligen PIN, die mit dem Gamepad eingegeben wird, gesichert.

Allerdings gebe es dubiose Angebote im Internet, so Petzel, in denen der so genannte Gamerscore eines Spielers gegen Geldzahlung "hochgespielt" wird, sodass er einen höheren Rang bekommt. Dazu müsse der Spieler jedoch seinen Gamertag, die Windows Live ID und das Windows Live Passport weitergeben. Wenn jemand in den Besitz des Windows-Live-Passwortes kommt, kann der Account auf einer anderen Konsole per "Account Recovery" wiederhergestellt werden. "Das ist ähnlich unvorsichtig, wie das Weitergeben der PIN einer EC-Karte", erklärt Petzel. Wenn Dritte sich eines Accounts bemächtigt haben und der Besitzer bereits seine Kreditkarten-Informationen auf dem Account gespeichert hat, so können andere Personen beliebig Spiele aus dem Xbox-Live-Arcade-Angebot für "Microsoft Points" erwerben – auf Kosten des bestohlenen Besitzers.

Problematisch ist, dass Microsoft keine einfache Methode anbietet, einmal in einem Account gespeicherte Kreditkarten-Informationen wieder zu löschen. Es besteht lediglich die Möglichkeit, bei der Microsoft-Hotline die Kreditkarte sperren zu lassen oder auf der Webseite billing.microsoft.com die Zahlungen auf eine Dummy-Zahlungsmethode umzustellen, die nicht existiert. Dann könnte man keine Umsätze auf diesem Konto tätigen, bis erneut eine korrekte Zahlungsmethode hinterlegt wurde. Microsoft hatte bereits in der vergangenen Woche verkündet, dass am 18. Mai mit dem PC-Spiel "Halo 2" der neue Online-Service "Games for Windows – Live" starten soll. Über Games For Windows Live sollen PC-Spieler gegen Xbox-360-Spieler antreten können. Spieler nutzen dazu die gleichen Xbox-Live-Accounts wie auf der Konsole. Im Unterschied zur Konsole werden PC-Spieler aber weiterhin kostenlos gegeneinander spielen können. Einen kostenpflichtiger Gold-Account, der für 60 Euro pro Jahr angeboten wird, benötigt man nur, wenn man gegen Xbox-360-Spieler antreten will. (hag)