XboxLiveアカウントハック方法が意外とアナログ的
Xbox Live Vulneribility Exposed! Microsoft Ignored The Truth
http://www.analoghype.com/video-games/xbox-360-video-games/xbox-live-vulneribility-exposed-microsoft-ignored-the-truth/
1. Liveのゲーマータグを発見・収集して、グーグルやFacebook、Twitterなどでタグの持ち主を探し、Windows Liveのメールアドレス(Windows Live ID)を見つける
2. Xbox.com(https://live.xbox.com/Account/Signin)にアクセス、発見したメールアドレスを入力
パスワードは総当たり攻撃でサインインを試みる。正確なパスワードの入力に複数回失敗すると、画像内文字認証が現れ、IDとパスワードだけではサインインできなくなる。
しかし、同時に「別のIDでサインイン」というリンクが現れ、そちらのリンク先には画像認証が現れない。もちろんさきほどと同じIDを使ってトライできる。
失敗するとまた画像認証が現れるが、「別のIDの〜」リンクも再び現れる。以降この繰り返し。
ハッカー達はこの工程を自動化し、一日に複数のアカウントを盗む。
http://www.analoghype.com/video-games/xbox-360-video-games/xbox-live-vulneribility-exposed-microsoft-ignored-the-truth/
1. Liveのゲーマータグを発見・収集して、グーグルやFacebook、Twitterなどでタグの持ち主を探し、Windows Liveのメールアドレス(Windows Live ID)を見つける
2. Xbox.com(https://live.xbox.com/Account/Signin)にアクセス、発見したメールアドレスを入力
パスワードは総当たり攻撃でサインインを試みる。正確なパスワードの入力に複数回失敗すると、画像内文字認証が現れ、IDとパスワードだけではサインインできなくなる。
しかし、同時に「別のIDでサインイン」というリンクが現れ、そちらのリンク先には画像認証が現れない。もちろんさきほどと同じIDを使ってトライできる。
失敗するとまた画像認証が現れるが、「別のIDの〜」リンクも再び現れる。以降この繰り返し。
ハッカー達はこの工程を自動化し、一日に複数のアカウントを盗む。
|
|
|
たしかにゲーマータグとグーグル垢、ツイッター垢の名前一緒だわw
クレカもなにも登録してないから無害だな
意外とっていうか、だいたいこんなもんだろうと思ってたが。
あの糞見辛い画像認証にそんな抜け穴あったのかよ
わざわざ俺の脳内ペットの名前まで入れてパスワード変更したというのに
わざわざ俺の脳内ペットの名前まで入れてパスワード変更したというのに
数年前に見つかったセキュリティホールを突いて、1億件の個人情報ハックするのとどっちが難しいんだろうなw
グーグルと全く一緒だから変えなきゃだ
ええっと…
9 :名無しさん必死だな:2012/01/13(金) 19:28:26.39 ID:IOCy7UNr0
総当たり攻撃
http://ja.wikipedia.org/wiki/%E7%B7%8F%E5%BD%93%E3%81%9F%E3%82%8A%E6%94%BB%E6%92%83
6文字の大小いずれかの英字だけのパスワード Pentium 100MHzのPCで5分間〜8.5時間
ってこんな簡単に突破されるんだ。
8文字にしないと危なすぎだな。
http://ja.wikipedia.org/wiki/%E7%B7%8F%E5%BD%93%E3%81%9F%E3%82%8A%E6%94%BB%E6%92%83
6文字の大小いずれかの英字だけのパスワード Pentium 100MHzのPCで5分間〜8.5時間
ってこんな簡単に突破されるんだ。
8文字にしないと危なすぎだな。
[別のIDでサインイン]
がダメだろ?
がダメだろ?
>>10
数字と記号を含めるだけであら不思議。
数字と記号を含めるだけであら不思議。
しかし、総当たりとかそんな不自然なアタック紛いなアクセスだったらすぐバレるんじゃね?と思うのは素人考えかな
まさか手動とか、手動に近い速さでの自動化だったら本末転倒だろうし
まさか手動とか、手動に近い速さでの自動化だったら本末転倒だろうし
15 :名無しさん必死だな:2012/01/13(金) 19:39:38.79 ID:qd5A34QHO
>>10
CPUネックじゃなく通信ネックになるからその時間じゃ終わらんぞ
CPUネックじゃなく通信ネックになるからその時間じゃ終わらんぞ
( ゚д゚)ポカーン・・・
「MSのセキュリティ甘すぎ!糞箱オワタ!」
ゴキも息巻いて煽らないあたり分かってるのか
そりゃ総当り攻撃ならPSNの方が分が悪いというかLiveと同じだからなあ
むしろPSNではロック一切かからないのでパス入力し放題である
むしろPSNではロック一切かからないのでパス入力し放題である
20 :名無しさん必死だな:2012/01/13(金) 20:03:04.36 ID:Y+jdV1kD0
https://twitter.com/#!/PMswiny/status/136816415251496960
昨日の夜中Live切断されて一晩寝てから垢復元したらゲームの購入履歴に「真・三國無双5」とかあるんだけど
https://twitter.com/#!/PMswiny/status/136816021481848833
やはり昨日のLive切断は垢ハックくさいぞ
https://twitter.com/#!/PMswiny/status/136818422376964096
誰が買うねん http://twitpic.com/7exxrt魚拓
https://twitter.com/#!/clannd1973/status/157745803790786560
@PMswiny FIFAやられてる
https://twitter.com/#!/PMswiny/status/157747345394630656
@clannd1973 え、また?
https://twitter.com/#!/PMswiny/status/157747889123233793
パスはあれから変えたぞ
https://twitter.com/#!/PMswiny/status/157772040458342401
パス変更されてたけど取り戻した。パス変更の段階で中華文出てきたんだけど犯人中華?
昨日の夜中Live切断されて一晩寝てから垢復元したらゲームの購入履歴に「真・三國無双5」とかあるんだけど
https://twitter.com/#!/PMswiny/status/136816021481848833
やはり昨日のLive切断は垢ハックくさいぞ
https://twitter.com/#!/PMswiny/status/136818422376964096
誰が買うねん http://twitpic.com/7exxrt魚拓
https://twitter.com/#!/clannd1973/status/157745803790786560
@PMswiny FIFAやられてる
https://twitter.com/#!/PMswiny/status/157747345394630656
@clannd1973 え、また?
https://twitter.com/#!/PMswiny/status/157747889123233793
パスはあれから変えたぞ
https://twitter.com/#!/PMswiny/status/157772040458342401
パス変更されてたけど取り戻した。パス変更の段階で中華文出てきたんだけど犯人中華?
21 :名無しさん必死だな:2012/01/13(金) 20:03:32.57 ID:jDwrZYLY0
>>10
そういうのガードするために
ログインプログラムはだんだん再表示にウエイトつけるようになったり
規定回数のログイン失敗でアカウント凍結したりするのよね
アタックする方も無駄な文字列で総当りやろうとする奴はあまりいない
既存の辞書からスペル拾ったり、生年月日と見込んで数字だけで叩いたりする
お前ら辞書に載ってるスペルとかパスワードに使ってないだろうな
萌えキャラの名前とかパスに使ったら破られた時恥ずかしいぞ
そういうのガードするために
ログインプログラムはだんだん再表示にウエイトつけるようになったり
規定回数のログイン失敗でアカウント凍結したりするのよね
アタックする方も無駄な文字列で総当りやろうとする奴はあまりいない
既存の辞書からスペル拾ったり、生年月日と見込んで数字だけで叩いたりする
お前ら辞書に載ってるスペルとかパスワードに使ってないだろうな
萌えキャラの名前とかパスに使ったら破られた時恥ずかしいぞ
ザルガードじゃないっすか
本当にザルなのは
破られちゃうパスで登録しちゃう個人個人のセキュリティ意識の無さなんですけどね
破られちゃうパスで登録しちゃう個人個人のセキュリティ意識の無さなんですけどね
25 :名無しさん必死だな:2012/01/13(金) 20:10:48.38 ID:EBkRyDZM0
>>21
昆虫脳こわい
昆虫脳こわい
http://news.dengeki.com/elem/000/000/445/445967/MSP_cs1w1_583x485.jpg
▲こちらは1月11日にアカウントハックをされた友人のマイクロソフトポイント不正利用の様子です。
▲こちらは1月11日にアカウントハックをされた友人のマイクロソフトポイント不正利用の様子です。
27 :名無しさん必死だな:2012/01/13(金) 20:13:51.86 ID:K0KglWLU0
>>24
ユーザーがロガー踏んだり単純なパスだったりすると企業側じゃお手上げだしな
ユーザーがロガー踏んだり単純なパスだったりすると企業側じゃお手上げだしな
>>10
12桁以上にしてるな。
12桁以上にしてるな。
ハックして無双5買うとか意味フw
メアドはランダム生成したおかげで自分でも全く覚えてない
パスワードも意味のある物にはしてないつもりだが
パスワードも意味のある物にはしてないつもりだが
FACEBOOKやTwitterと同時ハックされた奴が多かった理由はやっぱりこれか
ソーシャルハックオチとかつまらないんですが
ソーシャルハックオチとかつまらないんですが
35 :アフィサイト転載はやめなよ ◆ghard//OlU :2012/01/13(金) 20:26:37.82 ID:3zFuIh6z0
メアドはランダム生成だけどこれだけは覚えてる
あとは全部LastPass頼りだからチョイ不安ではあるがな
あとは全部LastPass頼りだからチョイ不安ではあるがな
36 :名無しさん必死だな:2012/01/13(金) 20:57:30.89 ID:I8PKMyyM0
>>1
アナクロ的
アナクロ的
37 :名無しさん必死だな:2012/01/13(金) 21:01:29.82 ID:tPHJJDEt0
よくわからんのはハックされてもクレカ番号が抜かれるわけじゃないんだよな
ゲームに関わるなにかを買われるだけなんだがそれってハックした奴にメリットあんのかね?
ゲームに関わるなにかを買われるだけなんだがそれってハックした奴にメリットあんのかね?
せめて一日の同一IDへの試行回数決めとけ
41 :tomohisa:2012/01/13(金) 21:33:06.43 ID:Yi9ctN1a0
おれは痴漢だけど、これはフォローできないわw
42 :41:2012/01/13(金) 21:35:24.16 ID:Yi9ctN1a0
間違えました。スルーで
パスってどうやって変えるんだっけ?
44 :名無しさん必死だな:2012/01/13(金) 21:41:01.96 ID:K0KglWLU0
>>41
トメヒサってなに?
トメヒサってなに?
TOMOHISAってコテならsってる
ガメスパでも同じコテで書き込みしてるニワカPS3信者
ガメスパでも同じコテで書き込みしてるニワカPS3信者
46 :名無しさん必死だな:2012/01/13(金) 21:48:40.06 ID:yMFeb6RS0
何億千万回でも自由にアタックできるとかアホすぎだろ
マイクソも信用ならんな
マイクソも信用ならんな
>パスワードは総当たり攻撃でサインインを試みる
何でLiveだけに限定してるんだよw
何でLiveだけに限定してるんだよw
そもそもパスとか覚えてない上にMSポイント0だから何の被害もないw
おっさんといい箱○オンリー信者が悲鳴を上げてるのは気持ちいいwww
一神教はゲーマーなんて名乗るなよクズが^^
一神教はゲーマーなんて名乗るなよクズが^^
同じパスワードを色んな場所で使いまわすのは、楽だがリスクが高いってことだよな
何を今更と思わなくもないが
何を今更と思わなくもないが
ネトゲであったなあ
この間
この間
53 :名無しさん必死だな:2012/01/13(金) 22:04:41.05 ID:yMFeb6RS0
>>47
twitter、facebookなんかもこんな方法で突破できる仕組みなのか?
twitter、facebookなんかもこんな方法で突破できる仕組みなのか?
>>50
ただの超古典的なブルートフォースアタックだろ・・・
ただの超古典的なブルートフォースアタックだろ・・・
普通のハックだな
怖い話だ
怖い話だ
PSNは勝手にポイント使われたとか全然聞かないよな
クレカ登録しておらず、
ライブIDは最初のデフォの意味のない文字列のままで、
グーグルのメアドすら持ってない俺にアカウントハックの脅威は届かないのであった
ライブIDは最初のデフォの意味のない文字列のままで、
グーグルのメアドすら持ってない俺にアカウントハックの脅威は届かないのであった
58 :アフィサイト転載禁止 ◆ghard//OlU :2012/01/13(金) 22:23:15.97 ID:fiQ2GJ6Di
機械的なアタックに耐えられない、という意味ではシステム的に脆弱だったと言えるな。
>>56 え・・・?
むしろこんなもん見つかるのにずいぶん時間がかかったな
やっぱソーシャルハックかよ・・
ってかほんと意識低いなあw
ってかほんと意識低いなあw
機械アタック許しているってのはMSほどの企業にしては
言い訳したら行けない
言い訳したら行けない
63 :名無しさん必死だな:2012/01/13(金) 22:42:18.33 ID:r3Ekpl+p0
確かWoWだと5回連続で間違えると
アカウントロックされて登録メアドにアンロックの案内がきたな
アカウントロックされて登録メアドにアンロックの案内がきたな
65 :名無しさん必死だな:2012/01/13(金) 22:43:16.54 ID:yMFeb6RS0
ハックはされてないとかマイクソ否定してたけどこんなアタックされてたらすぐ分かるじゃん
セキュリティ意識がどんだけ低いんだよ
セキュリティ意識がどんだけ低いんだよ
>何億千万回でも自由にアタックできるとかアホすぎだろ
PSNでも同じというのが悲しいね
ましてやPSNはアカ不正使用あった時に、パスワード入力制限つけたほうがいいと進言したのに改善されなかった
PSNでも同じというのが悲しいね
ましてやPSNはアカ不正使用あった時に、パスワード入力制限つけたほうがいいと進言したのに改善されなかった
マイクソは昔からセキュリティ意識低いだろ
ゴキブリはMSっていう会社を知らない無知の集団だな
クレカ登録せんでよかった
PSNはVISAデビット使えるのにMSは使えないのはいただけないな
集団訴訟しようぜ
PSNはVISAデビット使えるのにMSは使えないのはいただけないな
集団訴訟しようぜ
liveアカを乗っ取るために何億何千万回アタックをかけるのか…
ねーーーーよwww
阿呆がパスを公開したら乗っ取るかなってレベル
ねーーーーよwww
阿呆がパスを公開したら乗っ取るかなってレベル
むしろこんな簡単にブルートフォースできるシステムはまずいよ!
>>71
お前がよっぽどセキュリティ意識の高い奴なら心配要らないんだろうし、
みんながそうなら別だけどクレカ情報が登録されてるアカはそれをやる価値があるんだよ
んでもって、アタックかけるのはほとんど無料に近いとなったら
そりゃチャイナやらはやる。それこそ徹底的にやる
お前がよっぽどセキュリティ意識の高い奴なら心配要らないんだろうし、
みんながそうなら別だけどクレカ情報が登録されてるアカはそれをやる価値があるんだよ
んでもって、アタックかけるのはほとんど無料に近いとなったら
そりゃチャイナやらはやる。それこそ徹底的にやる
74 :名無しさん必死だな:2012/01/13(金) 23:21:28.03 ID:XYu/ArtG0
75 :名無しさん必死だな:2012/01/13(金) 23:21:29.65 ID:/naROQ610
グーグルやFacebook、Twitter?
何それ美味しいの?
何それ美味しいの?
>>70
俺普通に使ってるけど
俺普通に使ってるけど
77 :名無しさん必死だな:2012/01/13(金) 23:26:02.78 ID:sf8Wd+u70
アタックにツールが使われなければ大丈夫だけど
まあセキュリティ対策をより盤石なものとしてくれたらユーザーは安心だし
改善すべきとこはしていくべき
まあセキュリティ対策をより盤石なものとしてくれたらユーザーは安心だし
改善すべきとこはしていくべき
奇特な人が俺のアカウントにゲイツチャージしてくれないかな
これ総当たりなだけでハックって呼べるのか微妙
>>77
へえ、MSの認証画面でツール使えんだ?初耳なんだが
へえ、MSの認証画面でツール使えんだ?初耳なんだが
82 :名無しさん必死だな:2012/01/13(金) 23:34:32.57 ID:DVRYEVVU0
これって普段と違う国からのログインをマイクロソフト側で弾いたり出来ないのかな?
海外からもhotmailみたい人は設定を変更するとログイン出来る様にして
海外からもhotmailみたい人は設定を変更するとログイン出来る様にして
>>80
Hackって元々は手軽にやってみたけどどうよ?ってニュアンスを含む言葉だし。
Hackって元々は手軽にやってみたけどどうよ?ってニュアンスを含む言葉だし。
84 :名無しさん必死だな:2012/01/13(金) 23:47:19.03 ID:3qtfmrNY0
>>81
MSの認証画面って、普通にLive垢のログインページなんだから使えるんじゃない?知らんけど
MSの認証画面って、普通にLive垢のログインページなんだから使えるんじゃない?知らんけど
85 :名無しさん必死だな:2012/01/14(土) 00:20:55.35 ID:TkB+t8vl0
アナログつーかアナクロじゃね?
アナログつーから
聴診器でも使うのかと思った
ふつーにデジタルじゃないか
聴診器でも使うのかと思った
ふつーにデジタルじゃないか
>>87
報告者が証拠ログあげるまでずっと捏造扱いしてたよね
報告者が証拠ログあげるまでずっと捏造扱いしてたよね
不自然に落とされたって本気で言ってんのかな
>>76
つかえねーよボケ
つかえねーよボケ
PS3はコンビニでウェブマネー
360はMSPポイントを店で購入
これでクレカは一安心
360はMSPポイントを店で購入
これでクレカは一安心
>>90
多分ユダヤ人かシンジケートか闇の勢力の仕業だろう
多分ユダヤ人かシンジケートか闇の勢力の仕業だろう
見苦しい単発ゴキブ李wwww
ソーシャルハック以外の方法でアカ乗っ取れるスキルあるならヤバい橋渡って
安い金でアカ横流しするよりスキルアピールして高給貰う方が得なんだよな
安い金でアカ横流しするよりスキルアピールして高給貰う方が得なんだよな
MSの時は必死で言い訳信じちゃうんだねwww
>>91
使えるわカス
使えるわカス
98 :名無しさん必死だな:2012/01/14(土) 08:47:20.29 ID:+BxnZel40
なんというアホすぎる穴w
痴漢これで散々煽ってたのに箱も糞だったw
痴漢これで散々煽ってたのに箱も糞だったw
つうかこの方法で総当りで平均どれくらいの時間かかるのよ。
通信まわりのラグ入れたら天文学的になるんじゃないの。
ふつうにフィッシングにひっかかっただけだろ。
通信まわりのラグ入れたら天文学的になるんじゃないの。
ふつうにフィッシングにひっかかっただけだろ。
痴漢ご苦労様
便所箱360
便所箱360
>>99
645 :名無しさん必死だな[sage] :2012/01/14(土) 08:27:47.26 ID:n9rNZ4h40
XboxLiveアカウントハック方法が意外とアナログ的
http://toro.2ch.net/test/read.cgi/ghard/1326448515/
>パスワードは総当たり攻撃でサインインを試みる。
なあ、LIVEのパスワードは6文字以上で大文字小文字の区別あり
数字や記号抜きでも約200億通りあるのに、どうやって総当たりでパスワードを入手するんだ?
仮に半分の所で当たったとしても、マイクロソフトのセキュリティって1つのアカウントに100億回アクセスがあっても気にしないレベルなのか?
645 :名無しさん必死だな[sage] :2012/01/14(土) 08:27:47.26 ID:n9rNZ4h40
XboxLiveアカウントハック方法が意外とアナログ的
http://toro.2ch.net/test/read.cgi/ghard/1326448515/
>パスワードは総当たり攻撃でサインインを試みる。
なあ、LIVEのパスワードは6文字以上で大文字小文字の区別あり
数字や記号抜きでも約200億通りあるのに、どうやって総当たりでパスワードを入手するんだ?
仮に半分の所で当たったとしても、マイクロソフトのセキュリティって1つのアカウントに100億回アクセスがあっても気にしないレベルなのか?
ブルートフォースって言葉はなんかカッコいいな
鯖に余裕で侵入された超貧弱鯖のアレと違って、LIVE鯖が硬すぎて入れなかったから
IDとパス盗んで入るという方法しか取れなかったんだなwこれでLIVE鯖の硬さが証明されてしまったわけだが
ゴキブ李どうすんの?w
IDとパス盗んで入るという方法しか取れなかったんだなwこれでLIVE鯖の硬さが証明されてしまったわけだが
ゴキブ李どうすんの?w
105 :アフィサイト転載禁止 ◆ghard//OlU :2012/01/14(土) 16:01:03.40 ID:uj6EX8wv0
試したけど簡単にハックできるんだな・・・
さっそく嫌いなフレにliveポイント10000買わせといたw
さっそく嫌いなフレにliveポイント10000買わせといたw
>>107
不正アクセス禁止法違反の犯罪告白ご苦労様。
不正アクセス禁止法違反の犯罪告白ご苦労様。
残念ながら『一日に加算可能なマイクロソフト ポイントのポイント数の上限は 8,000 ポイント』だw
チカニシ乙!ハックして、上限を1000まで増やして買った後に怪しまれないように8000に戻したからだというのに!
111 :名無しさん必死だな:2012/01/15(日) 12:28:03.96 ID:9yx9WzeP0
アナログ的・・・・
やはり中国人労働者の報復か・・・?
やはり中国人労働者の報復か・・・?
チカニシ乙!自分のクレカから引き落としだというのに!
114 :名無しさん必死だな:2012/01/16(月) 19:19:07.43 ID:iAhaKMD+0
セキュリティがずさんすぎますね
115 :名無しさん必死だな:2012/01/16(月) 19:58:17.85 ID:lKtFfcM5O
本体横置きでも大丈夫なのか
俺アカハックされたらマジで引退すると思うわ
実績解除してくれてただけならいいけど
実績解除してくれてただけならいいけど
117 :名無しさん必死だな:2012/01/16(月) 20:27:02.81 ID:lKtFfcM5O
>>107
まじで通報した。犯罪だからね。
まじで通報した。犯罪だからね。
>>102
CAPTCHAって言う画像認証が本当は必要なんだけど、他IDで試すってやるとその画像認証が不要になっちゃう、そこで同じIDを入力ってのを自動化しちゃうのよ
それでゴリゴリと一文字づつやってくって方法、時間は相当かかるけど、GPU併用でやるとあんま時間かからんのだとか
要するにビミョーな穴に対して力ずくでアクセスしまくってるってヤツみたい、ただ、そう言うのでも落ちないのがMS関連の鯖の怖さとも言うか・・・w
せめて現地言語CAPTCHAやってくれりゃいいのにw
>>103
要するに「力ずく」だけどなw
CAPTCHAって言う画像認証が本当は必要なんだけど、他IDで試すってやるとその画像認証が不要になっちゃう、そこで同じIDを入力ってのを自動化しちゃうのよ
それでゴリゴリと一文字づつやってくって方法、時間は相当かかるけど、GPU併用でやるとあんま時間かからんのだとか
要するにビミョーな穴に対して力ずくでアクセスしまくってるってヤツみたい、ただ、そう言うのでも落ちないのがMS関連の鯖の怖さとも言うか・・・w
せめて現地言語CAPTCHAやってくれりゃいいのにw
>>103
要するに「力ずく」だけどなw
もう対応されたみたいだな
時計はやっぱりデジタルだよね