5-Jähriger entdeckt Xbox Passwort-Bug, erhält magere Belohnung
Eine kuriose Geschichte, die uns ein 5-jähriges Kind im Zusammenhang mit der Xbox beschert. Dem kleinen Kristoffer aus Kalifornien gelang es, die Passwortabfrage bei der Xbox zu umgehen. Sicher nicht gewollt, aber Kommissar Zufall ist ja häufig zur Stelle, wenn man nicht damit rechnet. Kristoffer wollte an der Xbox seines Vaters spielen, kannte aber natürlich das Passwort (welches für einen Kinderschutz ausreichen sollte) nicht. Also wurde das falsche Passwort eingegeben und danach zu einem Passwort-Verifikations-Fenster navigiert. Dort gab der kleine Mann dann einfach Leerzeichen anstatt eines Passwortes ein. Und wie aus dem Nichts hatte er plötzlich vollen Zugriff auf die Xbox und konnte alle Spiele spielen.
Die Lücke ist mittlerweile nicht mehr vorhanden, die (etwas mageren) Lorbeeren hat Kristoffer bereits geerntet. Von Microsoft erhielt er für seine Entdeckung 4 Spiele für die Xbox, 1 Jahr kostenlose Nutzung von Xbox Live und 50 US-Dollar. Außerdem wurde sein Name auf der Microsoft Security Researcher Shoutout-Seite veröffentlicht. Sicher eine große Sache für den Kleinen, der damit im Kindergarten bestimmt der große Held ist.
Trotzdem eine ziemlich peinliche PR-Aktion für Microsoft. Erstens ist die Lücke schon ein Unding und sollte so auf keinem System vorhanden sein. Zweitens ist die Belohnung in einem Fall, der zwangsläufig von den Medien aufgegriffen wird (Hallo? Da ist ein Kind im Spiel, das einen Milliarden-Konzern bloßstellt.), mehr als dürftig. Aber in Marketing-Fragen war Microsoft noch nie als treffsicher bekannt. Trotzdem coole Story, die einmal mehr zeigt, wie geschickt Kinder mit Technik umgehen, auch wenn solche Ergebnisse natürlich nur ein Zufallsprodukt sind.
Mein Account ist seit etwas über 7 Monaten aufgrund eines Systemfehlers defekt. Ettliche Telefonate, Chats und sonstige Supportanfragen später, ist das einzige das MS geschafft hat, den falschen Account wiederherzustellen… Ich solle mich noch etwas gedulden…
Ich bekomme vermutlich nichtmal nen feuchten Händedruck von der Mannschaft (falls sie es denn in diesem Jahrhundert noch schaffen…)
Was soll denn daran nun peinlich für Microsoft sein? Soll ein Fünfjähriger jetzt 5.000 Dollar Belohnung bekommen oder was? Microsofts Bug Bounty Programm (zumindest für den IE) erfordert sogar ein Mindesalter von 14 Jahren. Insofern sehe ich den Punkt überhaupt nicht, dass da irgendwas peinlich sein soll, ich finds sogar recht großzügig.
Was ist daran peinlich? Ist doch eine satte Belohnung für einen 5-jährigen Fatzke. Was braucht der Kerl mehr?
Sehe hier auch kein Problem. Im gegenteil: Microsoft gibt dem kleinem Herrn etwas über das er sich freuen kann. Was den sonst? Ein par Tausend Dollar passt da ja wohl wirklich nicht.
Finde die Belohnung angemessen.
Was daran peinlich sei? Xbox Live Gold auf Lebenszeit und 2-3 kostenlose Spiele pro Jahr fände ich angemessener. So ist es in der Tat peinlich. Der Bug ist deutlich mehr als ein paar Tausend Dollar wert.
Mehr als ein paar tausend Dollar? Das würde dann ja in überhaupt keiner Relation mehr stehen zu dem, was man in anderen Produkten für kritische Sicherheitslücken erhält. Und ein Fünfjähriger muss mehr bekommen als üblich? Versteh ich nicht.
Ich finde nicht nur den Bug sondern auch dessen Belohnung. Natürlich ist das für einen 5jährigen viel Geld (naja durch das nächste Spiel ist es auch wieder weg). Sinnvoller wäre es dazu den üblichen Betrag, der ja in die 4-6-stelligen Bereiche geht, für den kleinen vernünftig anzulegen und ihm sagen wir ab 18 den Zugriff darauf zu geben.
Aber wundert mich nicht dass das möglich ist. Schon zu Windows 9x Zeiten hatte Microsoft einfach zu erratene (also gültige) CD Keys wie 7777777, 1234567, 1111111…
Für etwas peinlich halte ich eher diesen Beitrag, aber leider verkommt das Niveau dieses Blogs in meinen Augen immer mehr. Ich möchte gar nicht wissen, wie diese Zeilen bei einem vergleichbaren Vorfall bei Apple ausgesehen hätten (welche wahrlich ebenfalls schon sicherheitskritische Lücken hatten, welche ein Unding waren…).
Haltet ihr es für pädagogisch sinnvoll, einem 5-jährigen Jungen eine Summe von mehreren Tausend Dollar (welche dann vermutlich bis zur Volljährigkeit von einem Erwachsenen verwaltet werden müsste) auszuhändigen? Da halte ich die Prämie hier für angemessen, auch wenn in diesem Alter eine Spielkonsole ohnehin noch nicht das wichtigste Spielzeug sein sollte 😉
Was bitte hat denn die Höhe der Belohnung damit zu tun ob der Fall von den Medien aufgegriffen wird? Wenn MS ordentlich Kohle rausschmeißt dann ist das angebliche PR Desaster nicht mehr ganz so groß .. Aha.
Die Belohnung für einen 5!-jährigen ist doch absolut in Ordnung und da bin ich ja zum Glück nicht der Einzige mit dieser Meinung. Zumal es hier auch nicht um einen Wettbewerb geht bei dem von vornherein eine Belohnung angesetzt war.
Das wäre doch was um die Scroogled Kampagne umzudrehen… Komischer Laden aus Redmond.
Felix, mach mal sachte. Jeder hat das Recht auf seine Meinung. Ich fand’s interessant, du nicht so. Gut. Das nicht jeder Artikel des Blogs immer ein Kracher sein kann… Und wir haben Samstag Abend. Ich stimme dir zu, die Prämie passt. Ich finde es viel schlimmer, dass diese „was bekomme ich dafür“-Mentalität immer mehr um sich greift.
Die eigentliche Frage ist doch: Was bekäme ein erwachsener Bug-Jäger, wenn er die Lücke entdeckt hätte? Wäre so einer mit den gleichen Spielereien abgespeist worden? Schließlich ist eine Kindersicherung ja kein unwichtiger Bestandteil. Und die Logik hinter den meisten Kommentaren hier erschließt sich mir daher auch nicht: Die gleiche Leistung soll nur aufgrund unterschiedlichen Alters auch unterschiedlich entlohnt werden? Was kommt als Nächstes? Unterschiedliche Gehälter für unterschiedliche Geschlechter? 😉
@Name unwichtig- Unterschiedliche Gehälter für unterschiedliche Geschlechter ist die Realität.
Mal ehrlich die meisten Kindersicherungen schützen mehr die Eltern vor den Kindern als umgekehrt. Gab doch vor ein paar Jahren mal nen Test, indem kleine Kinder mühelos nach kurzer Zeit Reiniger, Kindersicherungen, etc. auf bekamen und das deutlich schneller als die erwachsenen Versuchsteilnehmer… Von daher befindet sich Microsoft in guter Gesellschaft. Und die Belohnung ist jetzt auch nicht so übel, da ich mal davon ausgehe, dass zur Behebung dieses Bugs nicht viel nötig ist. Und Gerade bei Konsolen, Computern, etc. sollte die beste Kindersicherung immer noch die Eltern sein!
@Name unwichtig:
Zu diesem Punkt sei hierauf verwiesen: http://technet.microsoft.com/de-de/security/dn425036
Zu beachten ist jedoch auch folgende Passage in den Guidelines:
„You are eligible to participate in this program if:
You are 14 years of age or older. If you are at least 14 years old, but are considered a minor in your place of residence, you need to ask your parent’s or legal guardian’s permission prior to participating in this program.“
Zu deiner Aussage „Die gleiche Leistung soll nur aufgrund unterschiedlichen Alters auch unterschiedlich entlohnt werden?“ sei noch folgendes angemerkt:
Würde man dieser Logik uneingeschränkt folgen, so würde auch die Einschränkung Minderjähriger durch Regelungen etwa zur Geschäftsfähigkeit eine Diskriminierung darstellen. Nach derzeit herrschender juristischer Auffassung ist dies jedoch nicht der Fall.
Ich hätte dem Kind gar kein Geld gegeben. Stattdessen hätte Microsoft für ihn ein Sparbuch oder so anlegen sollen. Vielleicht verbunden mit einer Reise ins HQ. Das wäre eine schöne Geste an ein Kind gewesen.
Meiner Meinung nach hätte Microsoft hier eine Mischung aus vielen Kommentaren machen sollen:
Ein Spiel schenken um dem Kind direkt etwas geben zu können und ihm zu vermitteln, dass er etwas gutes getan hat. Ein Konto mit ein paar 1000$ – Verfügbarkeit ab eingeschränkter Rechtsfähigkeit (keine Ahnung, ab wann das in den USA ist) um das übliche Maß solcher Entdeckungen abzudecken (warum genau verdient ein Kind für die Entdeckung eines Bugs solchen Ausmaßes nach Meinung einiger Kommentatoren weniger, als ein Erwachsener? Weil es zufällig war? Umso schlimmer!). Und eine Einladung ins HQ von MS (meinetwegen wenn es 10 ist) – um ihm ein weiteres Mal die Bedeutung seiner Entdeckung näher zu bringen…
10 spiele und lebenslanges xbox-gold müssten drinnensein 😀
Wenn Caschy diesen Bericht geschrieben hätte, dann sähen die Reaktionen genau entgegengesetzt aus. Genau das ist hier seit längerer Zeit üblich!
Wie jetzt? Wenn Caschy den Bericht geschrieben hätte, dann würden diejenigen, welche die Belohnung okay finden, diese plötzlich peinlich finden, und diejenigen, welche sie zu niedrig finden, fänden sie dann okay? Welchen Sinn ergibt das denn jetzt?
Ich denke, was fischtownblog sagen wollte, ist, dass viele Leser dieses Blogs fast schon aus Prinzip anderer Meinung sein wollen als Sascha.
Sein Standing bei der Leserschaft -zumindest der, die sich hier regelmäßig zu Wort meldet – ist wohl nicht das beste. Warum auch immer.
@felix: Wir merken schon: Du kannst Deinen Namen auch tanzen.
Wenn Du aber den Stock aus dem Arsch nehmen würdest, käme es geschmeidiger rüber …
😉