Gadgetshowto
O vulnerabilitate gravă în Xbox Live ar fi permis hackerilor să vadă ID-ul de e-mail al oricui a folosit serviciul. Acest lucru este potrivit mai multor cercetători în domeniul securității cibernetice care au susținut că au descoperit lacuna și au raportat-o Microsoft. De atunci, vulnerabilitatea a fost reparată pe partea serverului, iar Microsoft a emis o declarație în care spunea că utilizatorii nu trebuie să facă nimic din partea lor pentru a atenua problema.
Unul dintre cercetătorii care a raportat problema către Microsoft este Joseph "Doc" Harris, care a spus ZDNet că bug-ul a fost localizat pe domeniul „application.xbox.com”, care permite utilizatorilor Xbox să vizualizeze greve împotriva profilului Xbox și să depună contestații dacă consideră că au fost mustrați pe nedrept.
Potrivit lui Harris, cookie-urile portalului conțineau un câmp ID de utilizator Xbox (XUID) necriptat, permițând hackerilor să vadă e-mailurile altor utilizatori doar înlocuind valoarea cookie-ului XUID cu XUID-ul unui cont de test pe care l-a creat în scopuri de testare. ca parte a programului Xbox Bounty. „Am încercat să înlocuiesc valoarea cookie-ului și să o reîmprospătez, și brusc am putut vedea alte e-mailuri (ale utilizatorilor)”, se pare că a spus blogului într-un interviu la începutul acestei săptămâni.
După cum sa menționat deja, Microsoft a lansat un patch care criptează XUID. Într-o declarație oficială, compania a spus că are „A lansat o actualizare pentru a proteja clienții”. Cu toate acestea, bug-ul nu a fost acoperit de programul Xbox Bounty Bounty, ceea ce înseamnă că Harris nu a obținut nicio recompensă financiară pentru cercetările sale, deși Microsoft a fost de acord să-l prezinte pe Bug Bounty Hall of Fame în calitate de colaborator.
