Компания Microsoft исправила уязвимость на сайте Xbox, который мог позволить злоумышленникам связывать профили игроков с их реальными электронными адресами.

Уязвимость была обнаружена в рамках программы поиска багов в Xbox, которую Microsoft запустила в январе этого года.

Джозеф «Doc» Харрис был среди тех исследователей безопасности, которые сообщили Microsoft о проблеме.

Он сказал, что баг находился на сайте enforcement.xbox.com – это портал, на котором игроки могут посмотреть и оспорить страйки в отношении своих аккаунтов.

После входа в аккаунт в браузере игрока создается файл cookie с деталями о сессии. Поэтому пользователям не нужно авторизоваться заново при следующем посещении.

Харрис говорит, что этот файл cookie содержал также незашифрованный ID пользователя Xbox (XUID).

Используя инструменты, которые есть в каждом браузере, Харрис заменил XUID на XUID тестового аккаунта.

«Я попробовал изменить значение cookie и обновил его, и внезапно я смог увидеть электронные адреса других пользователей», – сообщает эксперт.

В Microsoft исправили сбой в прошлом месяце.

По словам Харриса, все, что нужно было сделать, – это зашифровать XUID.

Источник: secure news