Microsoft ha confermato che gli account Xbox Live di “alto profilo” appartenenti ad alcuni dipendenti (attuali ed ex) sono stati compromessi. L’attacco è stato messo a segno dallo stesso gruppo di cracker (il Team Hype) che ha colpito il sito di ArsTechnica, il sito dell’esperto di sicurezza Brian Krebs e il sito Xbox Entertainment Award (attualmente offline), sul quale sono state mostrate in chiaro tutte le informazioni private dei votanti.
La scorsa settimana, il sito di Brian Krebs ha subito un attacco DoS (Denial of Service), ma i cracker sono andati anche oltre. Utilizzando diverse tecniche di ingegneria sociale sono riusciti ad ottenere il suo numero di telefono, dal quale è partita una chiamata di emergenza al 911. La SWAT ha quindi raggiunto la sua abitazione, scoprendo solo dopo che si è trattato di un falso allarme. I responsabili di tutto ciò sono i quattro membri del Team Hype.
Krebs ha scoperto che lo stesso gruppo di cracker ha avuto accesso agli account Xbox Live, dopo aver visto un video sul loro canale YouTube (ora vuoto). Il video mostrava il funzionamento dell’hijacking e le conversazioni tra i membri del team mediante un instant messenger. Gli hacker hanno ottenuto le credenziali di accesso ad Xbox Live a partire dai numeri della previdenza sociale pubblicati su un sito russo. Microsoft non chiede i Social Security Numbers (SSN) per la registrazione, ma i dati della carta di credito. Usando gli SSN, i cybercriminali hanno richiesto e ottenuto i “credit report” da aziende come Equifax, TransUnion e Experian, tramite il sito AnnualCreditReport. I rapporti sui crediti contengono i riferimenti dei conti correnti, grazie ai quali gli cracker hanno ottenuto i numeri delle carte di credito usate dagli utenti su Xbox Live. I membri del team hanno quindi venduto gli account ad altri giocatori Xbox Live.
Microsoft ha confermato tutto e ha rilasciato la seguente dichiarazione:
Siamo a conoscenza del fatto che un gruppo di aggressori ha utilizzato diverse tecniche di ingegneria sociale per compromettere alcuni account Xbox Live di alto profilo posseduti da attuali ed ex dipendenti Microsoft. Stiamo lavorando attivamente con le forze dell’ordine e con le altre società interessate per disattivare questo metodo di attacco e impedirne l’ulteriore utilizzo.
L’azienda di Redmond ha confermato anche che il sito Xbox Entertainment Award è stato attaccato. Per un breve lasso di tempo sono stati pubblicati tutti i dati degli utenti Xbox che hanno partecipato alle votazioni (nomi, indirizzi email e gamertag). Le password non sono state compromesse. Microsoft ha rimosso l’app di voto dalla pagina Facebook e chiuso temporaneamente il sito, in attesa di risolvere il problema di sicurezza.