Vorige week deden er zich enkele geruchten de ronde over gehackte Xbox Live accounts, waar na een onderzoek van Microsoft geen enkel bewijs voor werd gevonden. Microsoft legde de verantwoordelijkheid vooral bij de gebruikers zelf; zij zouden zelf veiliger moeten omgaan met vertrouwelijke account informatie.

Uit een onderzoek van Computerworld is echter gebleken dat de medewerkers van de Xbox Live support service onwetend hebben bijgedragen aan pogingen van hackers om user ID's in handen te krijgen. Hierbij wordt door de inbrekers gebruikt gemaakt van een techniek waarin ze opbellen naar de helpdesk met de smoes dat ze een probleem hebben met hun Xbox Live account, die uiteraard niet van hunzelf is. Op deze manier proberen ze vervolgens informatie bij elkaar te puzzelen om zodoende in te kunnen breken in de account van degene wiens identiteit ze hebben 'aangenomen.' Meestal is het niet met één belletje mogelijk om alle informatie bij elkaar te krijgen, maar voor aanhoudende misbruikers is het kick om de puzzel compleet te krijgen.

De gameclan Infamous schept graag op over het succes van hun werkwijze, die ze ook wel social engineering of pretexting noemen. Dit viel tot voor kort te lezen op hun website, die inmiddels offline is.

“Hoe krijgen we je informatie? Nou, simpel. We bellen gewoon naar de helpdesk en doen net alsof we jou zijn. We verzinnen een verhaaltje over hoe je kleine broertje een hoop onzin in je account heeft gezet, bla bla bla. We krijgen misschien één stukje informatie per keer, maar als we dit lang genoeg volhouden hebben we genoeg bij elkaar verzameld om bij je wachtwoord van Windows Live ID reset te kunnen komen. Ze zeggen dat het niet kan, maar dat is onzin. De medewerkers van Bungie kunnen je wachtwoord wel degelijk veranderen.”

Infamous claimde minstens tien accounts per dag te stelen en uitte verschillende dreigementen. “Als je ons dwarszit modden we je account tot je wordt gebanned.”

Een geval is bijvoorbeeld die van computer beveiligingsexpert Kevin Finisterre. De account van zijn vriendin werd gehackt nadat hij bedreigingen had gekregen van andere spelers tijdens een Halo 2 sessie, terwijl hij onder haar naam speelde. De hackers konden het blijkbaar niet waarderen dat hij hun praktijken aan de grote klok had gehangen. Toen hij probeerde Xbox Live support te bellen, kreeg hij min of meer te horen dat er niets gedaan kon worden om de situatie weer in orde te krijgen.

Microsoft heeft nog geen reactie gegeven op het onderzoek.