Баг на сайте Xbox позволил злоумышленникам узнать адреса электронной почты игроков
Новости
Для получения доступа к конфиденциальной информации, достаточно было провернуть нехитрые манипуляции на портале enforcement.xbox.com. Стоит отметить, что на момент написания материала, проблема была устранена.
278 открытий279 показов
Специалист по кибербезопасности Джозеф Харрис рассказал, что уязвимость была найдена в результате его желания проверить сервисы Microsoft на прочность. Для этого эксперт зашёл на портал Xbox Enforcement, где воспользовался незашифрованностью поля Xbox user ID в cookie-файлах сайта. Затем, использовав «инструменты, включённые во все современные браузеры», он подменил этот самый ID на ID другого, тестового аккаунта.
Попытавшись заменить значение cookie и обновив страницу, я мгновенно получил возможность видеть адреса электронной почты других [игроков].
Также было опубликовано видео, более наглядно демонстрирующее сам баг:
Харрис уже оповестил Microsoft об имеющейся уязвимости. Благодаря своевременной реакции специалистов компании, проблема была оперативно устранена. В свою очередь разработчик, нашедший её, может претендовать на денежное вознаграждение — отчёт об ошибке был отправлен в рамках программы Xbox bug bounty program, которая подразумевает выплаты до 20 000 долларов.
278 открытий279 показов
Microsoft, в своих лучших традициях, перестала спрашивать пользователей, хотят ли они включить бэкап своих файлов через OneDrive
Microsoft выпустила Office 2024, предлагая пакет приложений без подписки на Microsoft 365 за фиксированную сумму. Новая версия включает обновленные Word, Excel и PowerPoint
В социальной сети для поиска IT-работы LinkedIn появится новая функция — возможность играть в игры. Такое обновление готовит Microsoft для платформы
Группа исследователей провела интересный опрос, который показал нелицеприятную статистику — половина ИБ-специалистов умалчивают об ошибках при общении с начальством