Matzor blir hackad, del 2
Fortsättningen på följetongen om hur fiems@162.com hackade mitt Xbox Live-konto och hur Microsoft inte vill hjälpa till. Eller kanske ännu värre, aktivt hjälper tjuven att stjäla mina pengar! Läs första delen här.
Dagen efter ringer jag givetvis till den svenska supporten, som nu har öppet. Av signalen att döma kopplas jag någonstans i utlandet, men det är ändå en svensk tjej som svarar. Hon kan inte hjälpa mig med mina frågor om Paypal eller annat, men säger att hon ska sätta upp ett supportärende och återkomma till mig samma dag. I ett okaraktäristiskt utslag av bristande cynism tror jag faktiskt på henne.
Jag får också ett mail från den amerikanska Xbox-supporten. Kvällen innan hade jag faktiskt skickat ett mail till dem för att åtminstone ha loggat att det här har hänt. Jag fick ett ärendenummer, men när jag skrev ut sidan där det stod så blev papperet blankt. Antagligen ett scriptfel eller liknande, men just då tog jag ju för givet att de gjort så med flit så att man inte skulle besvära dem igen. Men nu har jag alltså fått svar på mitt mail, i vilket jag beskrev problemet och noggrannt skrev ner de åtgärder jag vidtagit, att jag tagit bort hackerns mail och ändrat mitt lösenord till något säkrare.
Mailet från Xbox-supporten är ett inkopierat standardmail som beskriver hur man ändrar sitt Live-lösenord. Vilket jag skrev i mitt mail till dem – som det här alltså i teorin är ett svar på – att jag redan gjort. Vilket då till och med den störste idiot som någonsin gått i en Xbox-support-tröja borde fatta att jag vet hur man gör, och att jag inte behöver ett mail som berättar detta för mig. Om jag inte redan hade börjat misstänka att MS avsiktligen driver med mig så får jag detta bekräftat nu – de inte bara skiter i att deras användare får problem tack vare bristande säkerhetsåtgärder, de tycker uppenbarligen att det är roligt att jävlas med dem när så sker!
En kvart innan den svenska supporten stänger, ringer jag och påminner dem om att de lovat att återkomma till mig. Idag. Killen som svarar lovar att påminna supporttjejen som har mitt ärende att hon ska ringa till mig. Idag. Men det gör hon givetvis ändå inte. Kan det bero på att det är så många som blivit hackade just idag att de inte har tid? Kan det bero på att Microsoft helt enkelt skiter i sina kunder? Det känns som 50% chans för båda, ungefär. Någon utredning har inte påbörjats, eftersom mitt konto fortfarande går att logga in på. Som tur är verkar mitt nya lösenord hålla och tjuven har inte varit tillbaka – vilket i sin tur tyder på att detta INTE är en keylogger eller liknande.
Men mina egna åtgärder verkar ha fungerat. Ingen har varit inne på mitt Live-konto idag, ingen har försökt köpa grejor med min Paypal och min mail verkar orörd. Jag googlar lite på emailadressen som användes för att sno mitt konto, fiems@126.com. Och det är nu jag börjar bli orolig på allvar, för att inte tala om svårt besviken på Microsoft.
Det jag finner på internet är mängder av människor som blivit hackade av exakt samma människa, som använder sig av den kinesiska emailadressen fiems@126.com. Mängder. Det är inte bara jag, det är halva det satans internet som råkat ut för den här typen. Spekulationerna är många, några skriver att det omöjligt kan vara phishing eller social engineering, och det vill jag ju gärna tro att det är sant. Några har blivit av med tusentals dollar som de skulle köpt ny bil för, så jag är mer och mer glad att jag råkade kolla min mail precis när denne tölp satte igång att tömma mitt Paypal-konto, med Microsoft som ivrig medhjälpare – om han inte hade mitt Paypal-login, vilket inte verkar troligt, så är det ju faktiskt Microsoft som har loggat in honom på mitt Paypal-konto och därmed aktivt hjälpt honom att stjäla pengar från mig.
Intrången har pågått åtminstone sedan juli 2011. Det är ju inte säkert att det är samma person som begått brotten, men faktum är att samma emailadress har använts för att stjäla Xbox-konton och därmed associerade pengar i MINST sex månader. Upprörda människor berättar om hur de blivit av med stora eller små summor och att ingen på supporten verkar vilja hjälpa dem. De flesta har tydligen fått tillbaka sina pengar, men det är en titanisk kamp att överhuvud taget komma fram till någon på Microsoft som kan hjälpa till, och när man gör det är det lite si och så med den hjälp man får.
Någon länkade igår till Joystiq, som skrivit om hur folk blivit hackade för att tjuvarna skulle kunna köpa prylar i Fifa 12. Märkligt nog så står det nu på mitt Live-konto att jag har spelat Fifa 12 igår kväll. Jag äger inget Fifa 12, har inte ens provat spelet. Ytterligare en indikation på att det här är ett problem som Microsoft känt till länge, men inte gjort något åt.
Microsoft vet alltså om att det här händer deras kunder, och de vet var förövaren kommer ifrån, eller har åtminstone möjlighet att ta reda på det utan större ansträngning. De ger helt enkelt fan i att göra något åt det. Varför? Det får du fråga dem, jag kan inte se någon anledning att helt enkelt ignorera problemet. Och jag har ännu svårare att förstå varför de aktivt hjälper denne tjuv att stjäla pengar från folk genom att ge honom tillgång till Paypal utan lösenord eller annan auktorisering.
Okej, det är inte riktigt sant. Jag överdriver en smula för effektens skull: Det är givetvis hackern som är tjuven. Och att Microsoft låter dig köpa saker med Paypal utan att behöva logga in där är också lätt att förstå: Det är för att du ska köpa saker utan att tänka efter först, för att du ska handla mer på Xbox Live helt enkelt. Sunt marknadstänk. Men i det här fallet skapar det ett jättehål i säkerheten, och genom det hålet rinner mina pengar ner i tjuvens plånbok.
Det är möjligt att jag har missförstått. Att tjuven har en keylogger på min jobbdator och att Microsoft är fantastiska på säkerhet. Att allt är mitt fel och att jag inte förtjänar att få mina pengar tillbaka. Men jag tror inte det. För mig verkar det faktiskt som om Microsoft är en stor bov i sammanhanget. Och det känns inte riktigt bra att ett företag som jag förlitar mig på för en ganska stor del av min spelglädje numera i värsta fall hjälper första bästa kines att stjäla mina pengar, eller i bästa fall bara har kompromissat med säkerheten för att tjäna pengar.
Edit: Intrigen tätnar. Denna hacker får Electronic Arts sport-team att se väldigt bra ut, eftersom det får det att se ut som om folk köper en JÄVLA massa dlc till Fifa 12. Vilket de för all del gör, men med stulna pengar. Se Joystiq för mer information. Nu ska jag inte skylla på EA, men om de inte hade sålt överförbart dlc till Fifa så hade den här hackern inte haft något nytta av mina pengar.
Edit igen: Susan Taylor råkade ut för exakt samma sak som jag den 5:e januari. Hon fick en friend request från det konto hackern överfört stöldgodset till och snokade reda på vem som sålt grejorna. Om Microsoft har fått uppgifterna eller inte förtäljer inte historien, men de borde väl ha lyckats luska fram dem själva när de haft minst ett år på sig, kanske två. Läs hela historien på Hackedonxbox.
Mer edit: Kotaku har en teori om hur det hela går till. Verkar inte som om Microsoft skyddar sina konton mot bruteforcing tillräckligt väl.
Min tilltro till Microsoft har fått sig flera rejäla törnar det senaste året. Jag har själv hållit på att tampas med dem, även om det varit av andra anledningar. Det var skitsvårt att slå av autoförnyelsen av guldmedlemskapet (innan de ÄNTLIGEN införde den funktionen i senaste höstuppdateringen), och lika svårt att ta bort sitt kontokort från profilen. Jag tror att de har någon regel om att man alltid måste ha ett kort knutet till profilen, vilket känns ganska förjävligt. Det känns som att de gör det medvetet svårt att själv ta rimliga åtgärder för att skydda sig själv (vilket jag inte förstår), och det tycker jag definitivt kan räknas som att "hjälpa tjuvarna".
Många av deras funktioner är under all kritik; hoppas det "löste" sig på något sätt Mats.
Har bestridit betalningen från Paypal, och de har inte dragit något från mitt kort, så jag antar att de fryst betalningen till Microsoft. Jag ligger åtmisntone inte ute med några "riktiga" pengar, men någonstans måste ju de där pointsen betalas, om inte MS häver köpet. Jag hade ju trott att de åtminstone skulle låsa kontot och påbörja utredningen, som de lovat, men det har de inte gjort.
...lade till ett stycke med en lite mer nyanserad syn på saken, men behöll all den gamla, arga texten också. Och skrev ihop ett litet "förord" i del ett. Jag hatar ju inte Microsoft, eller några av deras anställda. Jag hatar dock det nonchalanta och rent av förolämpande sätt de behandlat mig de senaste två dagarna.
Nej, men kontot blir ju låst när de utreder såvitt jag förstått. Och så skulle hon ju ringa tillbaka idag, vilket jag påminde om andra gången jag ringde (och snackade med någon annan). Men jag hörde aldrig något. Mitt konto är nog tryggt eftersom jag bytte till ett jobbigare lösenord, men jag är sur för att jag inte hörde något.
Nu har Paypal tagit tillbaka mina pengar och kommer inte att betala ut något mer till Microsoft från mig, någonsin. Då återstår bara att ta reda på HUR det här hände, men jag misstänker att supporten inte kommer att vilja berätta det för mig. Och så vänta på utredningen, som enligt ett mail jag fick idag kan ta upp till 25 dagar!
Jag vet ju inte om det är jag som har klantat mig eller deras säkerhet som brister, och det lär jag aldrig få veta heller. De lär inte erkänna något, och om jag har en keylogger eller liknande så klarar den att undvika de vanligaste säkerhetsprogrammen.
Fick faktiskt lite hjälp idag! En kille på supporten tog serienummer på båda xboxarna här hemma och skulle sätta igång utredningen. Som ska ta 25 dagar max, blev jag lovad. VAD som tar 25 dagar fick jag inte veta, de ska bara kolla så att det inte är min box som använts för köpet. Jag antar att teknikerna tar VÄLDIGT lång tid på sig att läsa serienummer eller något. Eller så är det här problemet vanligare än de vill erkänna. Supportkillen verkade i alla fall känna igen problemet mer än väl, och lät inte direkt förvånad när jag nämnde FIFA-köpen heller.