Gadgetshowto
Uma vulnerabilidade séria no Xbox Live permitia que hackers vissem o e-mail de qualquer pessoa que usasse o serviço. Isso é de acordo com vários pesquisadores de segurança cibernética que alegaram ter descoberto a brecha e relatado à Microsoft. A vulnerabilidade já foi corrigida no lado do servidor, e a Microsoft emitiu um comunicado dizendo que os usuários não precisam fazer nada de sua parte para mitigar o problema.
Um dos pesquisadores que relatou o problema à Microsoft é Joseph 'Doc' Harris, que contou ZDNet que o bug estava localizado no domínio 'enforcement.xbox.com', que permite que os usuários do Xbox vejam os ataques contra o seu perfil do Xbox e entrem com recursos caso sintam que foram repreendidos injustamente.
De acordo com Harris, os cookies do portal continham um campo de ID de usuário do Xbox (XUID) que não foi criptografado, permitindo que os hackers vejam os e-mails de outros usuários apenas substituindo o valor do cookie XUID pelo XUID de uma conta de teste que ele criou para fins de teste como parte do programa de recompensa de bug do Xbox. “Tentei substituir o valor do cookie e atualizar e, de repente, consegui ver outros e-mails (dos usuários)”, ele aparentemente disse ao blog em uma entrevista no início desta semana.
Como já mencionado, a Microsoft lançou um patch criptografando o XUID. Em comunicado oficial, a empresa disse que “Lançou uma atualização para ajudar a proteger os clientes”. O bug, no entanto, não foi coberto pelo programa de recompensa de bug do Xbox, o que significa que Harris não colheu nenhuma recompensa financeira por sua pesquisa, embora a Microsoft tenha concordado em apresentá-lo em seu Bug Bounty Hall of Fame como colaborador.
