La vulnerabilidad de Xbox Live permitió a los piratas informáticos ver la dirección de correo electrónico de cualquier usuario

Según los informes, una grave vulnerabilidad en Xbox Live permitió a los piratas informáticos ver la identificación de correo electrónico de cualquiera que usara el servicio. Eso es según varios investigadores de ciberseguridad que afirmaron haber descubierto la laguna jurídica y lo informaron a Microsoft. Desde entonces, la vulnerabilidad ha sido parcheada en el lado del servidor, y Microsoft ha emitido un comunicado diciendo que los usuarios no tienen que hacer nada de su parte para mitigar el problema..

Uno de los investigadores que informó del problema a Microsoft es Joseph 'Doc' Harris, quien dijo ZDNet que el error se ubicó en el dominio'forcement.xbox.com ', lo que permite a los usuarios de Xbox ver las huelgas contra su perfil de Xbox y presentar apelaciones si sienten que han sido reprendidos injustamente.

Según Harris, las cookies del portal contenían un campo de ID de usuario de Xbox (XUID) que no estaba encriptado, lo que permitía a los piratas informáticos ver los correos electrónicos de otros usuarios simplemente reemplazando el valor de la cookie XUID con el XUID de una cuenta de prueba que había creado con fines de prueba. como parte del programa de recompensas por errores de Xbox. "Intenté reemplazar el valor de la cookie y actualizar, y de repente pude ver los correos electrónicos de otros (usuarios)", aparentemente le dijo al blog en una entrevista a principios de esta semana.

Como ya se mencionó, Microsoft ha lanzado un parche que cifra el XUID. En un comunicado oficial, la compañía dijo que ha "Lanzó una actualización para ayudar a proteger a los clientes". El error, sin embargo, no fue cubierto por el programa de recompensas de errores de Xbox, lo que significa que Harris no obtuvo ninguna recompensa financiera por su investigación, aunque Microsoft acordó incluirlo en su Bug Bounty Hall of Fame como colaborador.