Виммельбух, 3, перетяжка
Виммельбух, 3, перетяжка
Виммельбух, 3, перетяжка

Баг на сайте Xbox позволил злоумышленникам узнать адреса электронной почты игроков

Новости

Для получения доступа к конфиденциальной информации, достаточно было провернуть нехитрые манипуляции на портале enforcement.xbox.com. Стоит отметить, что на момент написания материала, проблема была устранена.

278 открытий281 показов

Специалист по кибербезопасности Джозеф Харрис рассказал, что уязвимость была найдена в результате его желания проверить сервисы Microsoft на прочность. Для этого эксперт зашёл на портал Xbox Enforcement, где воспользовался незашифрованностью поля Xbox user ID в cookie-файлах сайта. Затем, использовав «‎инструменты, включённые во все современные браузеры», он подменил этот самый ID на ID другого, тестового аккаунта.

Попытавшись заменить значение cookie и обновив страницу, я мгновенно получил возможность видеть адреса электронной почты других [игроков].

Также было опубликовано видео, более наглядно демонстрирующее сам баг:

Превью видео uuZWEz1AFhE

Харрис уже оповестил Microsoft об имеющейся уязвимости. Благодаря своевременной реакции специалистов компании, проблема была оперативно устранена. В свою очередь разработчик, нашедший её, может претендовать на денежное вознаграждение — отчёт об ошибке был отправлен в рамках программы Xbox bug bounty program, которая подразумевает выплаты до 20 000 долларов.

Следите за новыми постами
Следите за новыми постами по любимым темам
278 открытий281 показов