100 Censura (EXTRA): O método para o FIFA Hack é uma falha da Microsoft?

Ainda estamos bem atentos às celebres questões que envolvem o roubo de contas na Xbox Live. O site de videojogos Kotaku aumentou um pouco mais a polémica por reportar o MÉTODO que os piratas utilizam para tomar de assalto as contas alheias. E o que é mais interessante é que é tudo feito através de uma falha crónica na pretensa segurança implementada pela Microsoft. Tudo não passa de uma enorme exploração da péssima gestão de contas dentro da Xbox Live…

Susan Taylor, uma jovem de 23 anos e uma “Xbox Embassador” (uma espécie de clube especial para membros de longa data do Xbox Live e que têm participação activa na comunidade) teve a sua conta sequestrada em Janeiro deste ano. Decidiu publicar online (site entretanto encerrado) todos os passos e lamentos do processo em que a Microsoft não teve competência para gerir o caso e acabou por perder 300$ dólares em roubos no seu cartão de crédito no processo. O processo descrito por Susan tem os contornos do FIFA Hack que já falámos no nosso artigo 100 Censura. Até mesmo na utilização da sua conta para comprar add-ons do jogo FIFA 2012.

Mas o mais insólito é que depois de reportar tudo isto e receber a atenção dos média, foram os próprios piratas que a ajudaram a perceber o processo e os métodos dos hackers para obter a sua e outras contas a nível mundial no Xbox Live. Mas não esperem que existam grandes hacks de código ao serviço, ou grandes manobras informáticas. Trata-se, isso sim, de um aproveitar das ingenuidades do fraco sistema de segurança da Microsoft para proteger as respectivas contas.

Dias depois de descrever os eventos, Susan recebeu o contacto de três piratas que lhe deram links para os sites onde são discutidas as acções de pirataria em contas Live. Fóruns, sobretudo, uns com acesso público outros privados, onde os piratas compram e vendem contas alheias em que obtém os dados de acesso. Pode-se ler nesses fóruns, pedidos específicos, como quem procura quem “tenha boas estatísticas no Modern Warfare 3” ou “quem tenha muitos Pokemóns coleccionados”. Mas como conseguem os Piratas os dados que precisam?

Susan conta à Kotaku que tudo começa quando os piratas fingem ser os proprietários da conta enviando um email com um pedido de recuperação de conta. Basta aceder ao site do Xbox Live, pedir uma ajuda em recuperação de contas, fingir nomes e emails (gamertag ou email da vítima são o suficiente) e depois usar de engenho para criar um email em nome de um agente Microsoft e ligar para a linha de apoio a fingir que é o cliente (a vítima) e que estava a falar com um agente (nome e número de empregado falso, sendo tantas pessoas nos call-centers é fácil inventar) quando a chamada caiu. Não vamos descrever mais pormenor este método porque achamos que é apenas mais um meio de ajudar à proliferação deste hack. Mas o método está à vista de todos no artigo da Kotaku (link no fim do texto).

Diz Susan que nem sempre o método funciona, pelo que os piratas possuem outros métodos mais ou menos complexos. Mas todos exploram o sistema falível de recuperação de conta proporcionado pela Microsoft e não se trata de Phishing. Um outro método, por exemplo, é fazer chamadas de forma repetida para outros serviços que os piratas saibam que a vítima use com o Netflix (não disponível em Portugal). Através da reunião de dados poderão depois contactar a Microsoft informando de todos os dados possíveis como “prova” de legitimidade. Por exemplo os últimos quatro dígitos do cartão de crédito que são facilmente obtidos no processo de recuperação de password. Demasiado fácil, não acham?

Ainda não obtivemos resposta oficial da parte da Microsoft Portugal. Mas segundo a própria Kotaku, a multinacional está com enormes dificuldades em detectar a ameaça e lidar com ela. O primeiro relato deste problema data de 2010 (ou talvez antes, mas só nesse ano é que começámos a ler artigos relacionados com a compra de “cromos virtuais ” no jogo FIFA2012 como justificação da pirataria). Já lá vão dois anos desde que o problema existe de forma organizada e é reportado em sites como o já mencionado Kotaku, IGN, Gamespot, Joystiq e outros. Desde então os piratas continuam impunes e a monte. Os sites piratas de compra e venda de contas alheias continuam no ar.

É triste ver como o FBI e Interpol agem tão prontamente para perseguir a pirataria de filmes e músicas mas não tem mãos a medir para encontrar estes culpados que roubam dinheiro aos utilizadores legítimos. Mas se por acaso estes piratas roubassem a própria Microsoft, há muito que o problema seria resolvido.

Mais uma vez, destacamos o nosso artigo original (Podem Ler Aqui) para os métodos de segurança para tentar evitar esta situação e para que não percam nem dinheiro nem a própria conta. Infelizmente e como a própria Kotaku diz, “apenas se pode minimizar os danos.”

NOTA IMPORTANTE: O WASD.pt não patrocina nem fomenta qualquer tipo de acto ilícito. Os métodos aqui descritos e os contidos no link da Kotaku são da responsabilidade da própria Kotaku e têm como objectivo alertar os responsáveis como a Microsoft para o problema e para demonstrar a facilidade do método que não envolve intervenção informática mas sim numa exploração relativamente fácil do seu método de trabalho. Achamos que, com a dimensão da comunidade Xbox, a Microsoft precisa tomar este problema como sério e agir prontamente. Daí a nossa insistência.