5-Jähriger entdeckt Xbox Passwort-Bug, erhält magere Belohnung

Eine kuriose Geschichte, die uns ein 5-jähriges Kind im Zusammenhang mit der Xbox beschert. Dem kleinen Kristoffer aus Kalifornien gelang es, die Passwortabfrage bei der Xbox zu umgehen. Sicher nicht gewollt, aber Kommissar Zufall ist ja häufig zur Stelle, wenn man nicht damit rechnet. Kristoffer wollte an der Xbox seines Vaters spielen, kannte aber natürlich das Passwort (welches für einen Kinderschutz ausreichen sollte) nicht. Also wurde das falsche Passwort eingegeben und danach zu einem Passwort-Verifikations-Fenster navigiert. Dort gab der kleine Mann dann einfach Leerzeichen anstatt eines Passwortes ein. Und wie aus dem Nichts hatte er plötzlich vollen Zugriff auf die Xbox und konnte alle Spiele spielen.

Xbox One

Die Lücke ist mittlerweile nicht mehr vorhanden, die (etwas mageren) Lorbeeren hat Kristoffer bereits geerntet. Von Microsoft erhielt er für seine Entdeckung 4 Spiele für die Xbox, 1 Jahr kostenlose Nutzung von Xbox Live und 50 US-Dollar. Außerdem wurde sein Name auf der Microsoft Security Researcher Shoutout-Seite veröffentlicht. Sicher eine große Sache für den Kleinen, der damit im Kindergarten bestimmt der große Held ist.

Trotzdem eine ziemlich peinliche PR-Aktion für Microsoft. Erstens ist die Lücke schon ein Unding und sollte so auf keinem System vorhanden sein. Zweitens ist die Belohnung in einem Fall, der zwangsläufig von den Medien aufgegriffen wird (Hallo? Da ist ein Kind im Spiel, das einen Milliarden-Konzern bloßstellt.), mehr als dürftig. Aber in Marketing-Fragen war Microsoft noch nie als treffsicher bekannt. Trotzdem coole Story, die einmal mehr zeigt, wie geschickt Kinder mit Technik umgehen, auch wenn solche Ergebnisse natürlich nur ein Zufallsprodukt sind.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

32 Kommentare

  1. Ringkeeper says:

    Mein Account ist seit etwas über 7 Monaten aufgrund eines Systemfehlers defekt. Ettliche Telefonate, Chats und sonstige Supportanfragen später, ist das einzige das MS geschafft hat, den falschen Account wiederherzustellen… Ich solle mich noch etwas gedulden…

    Ich bekomme vermutlich nichtmal nen feuchten Händedruck von der Mannschaft (falls sie es denn in diesem Jahrhundert noch schaffen…)

  2. Was soll denn daran nun peinlich für Microsoft sein? Soll ein Fünfjähriger jetzt 5.000 Dollar Belohnung bekommen oder was? Microsofts Bug Bounty Programm (zumindest für den IE) erfordert sogar ein Mindesalter von 14 Jahren. Insofern sehe ich den Punkt überhaupt nicht, dass da irgendwas peinlich sein soll, ich finds sogar recht großzügig.

  3. Was ist daran peinlich? Ist doch eine satte Belohnung für einen 5-jährigen Fatzke. Was braucht der Kerl mehr?

  4. Sehe hier auch kein Problem. Im gegenteil: Microsoft gibt dem kleinem Herrn etwas über das er sich freuen kann. Was den sonst? Ein par Tausend Dollar passt da ja wohl wirklich nicht.

    Finde die Belohnung angemessen.

  5. Was daran peinlich sei? Xbox Live Gold auf Lebenszeit und 2-3 kostenlose Spiele pro Jahr fände ich angemessener. So ist es in der Tat peinlich. Der Bug ist deutlich mehr als ein paar Tausend Dollar wert.

    • Mehr als ein paar tausend Dollar? Das würde dann ja in überhaupt keiner Relation mehr stehen zu dem, was man in anderen Produkten für kritische Sicherheitslücken erhält. Und ein Fünfjähriger muss mehr bekommen als üblich? Versteh ich nicht.

  6. Thomas Baumann says:

    Ich finde nicht nur den Bug sondern auch dessen Belohnung. Natürlich ist das für einen 5jährigen viel Geld (naja durch das nächste Spiel ist es auch wieder weg). Sinnvoller wäre es dazu den üblichen Betrag, der ja in die 4-6-stelligen Bereiche geht, für den kleinen vernünftig anzulegen und ihm sagen wir ab 18 den Zugriff darauf zu geben.
    Aber wundert mich nicht dass das möglich ist. Schon zu Windows 9x Zeiten hatte Microsoft einfach zu erratene (also gültige) CD Keys wie 7777777, 1234567, 1111111…

  7. Für etwas peinlich halte ich eher diesen Beitrag, aber leider verkommt das Niveau dieses Blogs in meinen Augen immer mehr. Ich möchte gar nicht wissen, wie diese Zeilen bei einem vergleichbaren Vorfall bei Apple ausgesehen hätten (welche wahrlich ebenfalls schon sicherheitskritische Lücken hatten, welche ein Unding waren…).
    Haltet ihr es für pädagogisch sinnvoll, einem 5-jährigen Jungen eine Summe von mehreren Tausend Dollar (welche dann vermutlich bis zur Volljährigkeit von einem Erwachsenen verwaltet werden müsste) auszuhändigen? Da halte ich die Prämie hier für angemessen, auch wenn in diesem Alter eine Spielkonsole ohnehin noch nicht das wichtigste Spielzeug sein sollte 😉

  8. Was bitte hat denn die Höhe der Belohnung damit zu tun ob der Fall von den Medien aufgegriffen wird? Wenn MS ordentlich Kohle rausschmeißt dann ist das angebliche PR Desaster nicht mehr ganz so groß .. Aha.

    Die Belohnung für einen 5!-jährigen ist doch absolut in Ordnung und da bin ich ja zum Glück nicht der Einzige mit dieser Meinung. Zumal es hier auch nicht um einen Wettbewerb geht bei dem von vornherein eine Belohnung angesetzt war.

  9. Das wäre doch was um die Scroogled Kampagne umzudrehen… Komischer Laden aus Redmond.

  10. Felix, mach mal sachte. Jeder hat das Recht auf seine Meinung. Ich fand’s interessant, du nicht so. Gut. Das nicht jeder Artikel des Blogs immer ein Kracher sein kann… Und wir haben Samstag Abend. Ich stimme dir zu, die Prämie passt. Ich finde es viel schlimmer, dass diese „was bekomme ich dafür“-Mentalität immer mehr um sich greift.

  11. Name unwichtig says:

    Die eigentliche Frage ist doch: Was bekäme ein erwachsener Bug-Jäger, wenn er die Lücke entdeckt hätte? Wäre so einer mit den gleichen Spielereien abgespeist worden? Schließlich ist eine Kindersicherung ja kein unwichtiger Bestandteil. Und die Logik hinter den meisten Kommentaren hier erschließt sich mir daher auch nicht: Die gleiche Leistung soll nur aufgrund unterschiedlichen Alters auch unterschiedlich entlohnt werden? Was kommt als Nächstes? Unterschiedliche Gehälter für unterschiedliche Geschlechter? 😉

  12. @Name unwichtig- Unterschiedliche Gehälter für unterschiedliche Geschlechter ist die Realität.

  13. Mal ehrlich die meisten Kindersicherungen schützen mehr die Eltern vor den Kindern als umgekehrt. Gab doch vor ein paar Jahren mal nen Test, indem kleine Kinder mühelos nach kurzer Zeit Reiniger, Kindersicherungen, etc. auf bekamen und das deutlich schneller als die erwachsenen Versuchsteilnehmer… Von daher befindet sich Microsoft in guter Gesellschaft. Und die Belohnung ist jetzt auch nicht so übel, da ich mal davon ausgehe, dass zur Behebung dieses Bugs nicht viel nötig ist. Und Gerade bei Konsolen, Computern, etc. sollte die beste Kindersicherung immer noch die Eltern sein!

  14. @Name unwichtig:
    Zu diesem Punkt sei hierauf verwiesen: http://technet.microsoft.com/de-de/security/dn425036
    Zu beachten ist jedoch auch folgende Passage in den Guidelines:
    „You are eligible to participate in this program if:

    You are 14 years of age or older. If you are at least 14 years old, but are considered a minor in your place of residence, you need to ask your parent’s or legal guardian’s permission prior to participating in this program.“

    Zu deiner Aussage „Die gleiche Leistung soll nur aufgrund unterschiedlichen Alters auch unterschiedlich entlohnt werden?“ sei noch folgendes angemerkt:
    Würde man dieser Logik uneingeschränkt folgen, so würde auch die Einschränkung Minderjähriger durch Regelungen etwa zur Geschäftsfähigkeit eine Diskriminierung darstellen. Nach derzeit herrschender juristischer Auffassung ist dies jedoch nicht der Fall.

  15. de_noogle says:

    Ich hätte dem Kind gar kein Geld gegeben. Stattdessen hätte Microsoft für ihn ein Sparbuch oder so anlegen sollen. Vielleicht verbunden mit einer Reise ins HQ. Das wäre eine schöne Geste an ein Kind gewesen.

  16. Meiner Meinung nach hätte Microsoft hier eine Mischung aus vielen Kommentaren machen sollen:

    Ein Spiel schenken um dem Kind direkt etwas geben zu können und ihm zu vermitteln, dass er etwas gutes getan hat. Ein Konto mit ein paar 1000$ – Verfügbarkeit ab eingeschränkter Rechtsfähigkeit (keine Ahnung, ab wann das in den USA ist) um das übliche Maß solcher Entdeckungen abzudecken (warum genau verdient ein Kind für die Entdeckung eines Bugs solchen Ausmaßes nach Meinung einiger Kommentatoren weniger, als ein Erwachsener? Weil es zufällig war? Umso schlimmer!). Und eine Einladung ins HQ von MS (meinetwegen wenn es 10 ist) – um ihm ein weiteres Mal die Bedeutung seiner Entdeckung näher zu bringen…

  17. 10 spiele und lebenslanges xbox-gold müssten drinnensein 😀

  18. fischtownblog says:

    Wenn Caschy diesen Bericht geschrieben hätte, dann sähen die Reaktionen genau entgegengesetzt aus. Genau das ist hier seit längerer Zeit üblich!

    • Wie jetzt? Wenn Caschy den Bericht geschrieben hätte, dann würden diejenigen, welche die Belohnung okay finden, diese plötzlich peinlich finden, und diejenigen, welche sie zu niedrig finden, fänden sie dann okay? Welchen Sinn ergibt das denn jetzt?

  19. Name unwichtig says:

    Ich denke, was fischtownblog sagen wollte, ist, dass viele Leser dieses Blogs fast schon aus Prinzip anderer Meinung sein wollen als Sascha.
    Sein Standing bei der Leserschaft -zumindest der, die sich hier regelmäßig zu Wort meldet – ist wohl nicht das beste. Warum auch immer.

  20. @felix: Wir merken schon: Du kannst Deinen Namen auch tanzen.

    Wenn Du aber den Stock aus dem Arsch nehmen würdest, käme es geschmeidiger rüber …
    😉

  21. Michael Boll says:

    Wenn man einem 5 jährigen PR günstig etwas zukommen lassen will, dann sollte es irgendwie cool sein und nicht ein Geldbetrag, der nicht mal für ein neues Spiel reicht.

    Warum ihn nicht zu einem Motion Capture Tag bei einer Spieleentwicklung einladen und er darf sich da mal paar Minuten austoben, oder irgendwas anderes nettes. Kann ja nicht so schwer sein, sich da mla was auszudenken, wenn man schon so einen peinlichen Fehler drin hat.

  22. wa/fb hater says:

    @sascha ostermaier was hätte der 5 jährige deiner Meinung nach von Microsoft bekommen sollen? 5 millarden dollar, tonnenweise games, eine reise nach Hawaii?

  23. Das Ständing hat er sich selbst erarbeitet im abgeschriebenen „News“, deren Quelle er oft selbst nicht verstanden hat, und aus denen er recht fragwürdige Schlüsse zieht.

  24. Laut der Meldung bei Heise hat sein Vater die Sache an Microsoft gemeldet.
    Deswegen (aber auch generell) müsste ihm als gesetzlichen Vertreter seines Sohnes die übliche Belohnung zustehen.
    In der Originalmeldung bei ABC steht „a year-long subscription“ – ist das wirklich nur ein Jahr oder lässt sich das auch als „jahrelang“ übersetzen?

  25. @Pete: Es wird immer peinlicher…

  26. Heise News, Heise News, Heise News… hab ja nur drauf gewartet das ihr wieder kopiert !!!

  27. Oje, wenn IT-Leute sich Gedanken über Recht und Anstand machen…
    Dass jedem dieselbe Belohnung zusteht, ist ja wohl gänzlich indiskutabel. Was für eine Ansicht ist das denn, ausgelobte Preise nach Gutdünken an den Emfänger anzupassen? Absolut lächerlich!
    Der Sinn der Altersbeschränkung des Angebots ist ja wohl kaum darin zu sehen, sinnvolle Ergebnisse zu verhindern. Also ist sie hier auch sinnfrei, zumal Microsoft sie mit der Anerkennung selbst stillschweigend übergeht.
    Also hätte Microsoft bestenfalls noch eine Kleinigkeit oben drauf packen können, über die sich der Knirps sofort freuen kann. Ob das Konsolenspiele sein sollten, halte ich bei dem Alter auch für äußerst fragwürdig.
    Sehr, sehr dämliche PR für Microsoft. Von der Korrektur des Fehlers profitieren, aber den Entdecker mit Almosen abspeisen, weil er derzeit noch nicht versteht, dass er hier gerade kräftig verarscht wird.

  28. Ein Mountainbike oder ein Skateboard hätten sie dem Bengel schenken sollen, nicht irgendwelchen Videospielkram. Ein Fünfjähriger vor der X-Box? Ich glaub es hackt!

  29. @Malabar: Ich muss beruflich viele Betriebe prüfen (u.a. eben die AGG-Compliance) und kann von einer ~90%-Gleichberechtigungsquote berichten (!=Gleichstellung).

    Mir ist in den letzten Jahren kein Betrieb untergekommen, der wg. des Geschlechts gezielt unterschiedlich mehr oder weniger zahlt (wenn das rauskäme wäre es auch illegal, AGG lässt grüßen), insbesondere kann ich keine schlechtere Entlohnung weiblicher Arbeitskräfte sehen.

    Was viele nicht wissen: Der auch von dir genannte Unterschied, der da immer herangezogen und zitiert wird, liegt an den ausgeführten Berufen. Männer verdienen im Schnitt mehr, weil sie im Schnitt besser bezahlte Jobs haben. Aber nicht, weil sie für den gleichen Arbeitsplatz mehr bekämen. Das ist aber ein erheblicher gesellschaftspolitischer und moralischer Unterschied. Gleichberechtigung ist IMHO komplett gegeben, Gleichstellung muss sich aber halt erst entwickeln. Aber das darf man nicht sagen, sonst kommen gleich Millionen von Gender-Trollen. Ich habe vor dieser Entwicklung Angst, denn mit Gender-Gequatsche, Gründungs- und Technikfeindlichkeit gewinnt man halt keinen Blumentopf. Dann sind wir irgendwann alle gleich – arm an Meinung, Geld und Material. Aber Hauptsache das vermeintliche „Patriarchat“ wurde zwanghaft abgeschafft, anstatt eine Entwicklung zuzulassen (und diese ist gegeben: man achte nur darauf, was heute für Jugendliche völlig selbstverständlich im Umgang zwischen Mann, Frau und allem dazwischen ist – und vergleiche dies mit z.B. 1970).

  30. Unbekannt (Gast) says:

    watttdfhhdfjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjsdfbh 511111111111119th
    tzbj bj bj bj bj bj bj bj bj bj 819z
    zj tmj7t189b
    zjbzu1vj7
    hbvzj871z
    zbj987tb14
    tzbj278j7
    gfh4gf51789vh7z89
    tvh828t54vh268
    vh9h8er26v
    rtre

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.