Баг на сайте Xbox позволил злоумышленникам узнать адреса электронной почты игроков
Новости
Для получения доступа к конфиденциальной информации, достаточно было провернуть нехитрые манипуляции на портале enforcement.xbox.com. Стоит отметить, что на момент написания материала, проблема была устранена.
278 открытий281 показов
Специалист по кибербезопасности Джозеф Харрис рассказал, что уязвимость была найдена в результате его желания проверить сервисы Microsoft на прочность. Для этого эксперт зашёл на портал Xbox Enforcement, где воспользовался незашифрованностью поля Xbox user ID в cookie-файлах сайта. Затем, использовав «инструменты, включённые во все современные браузеры», он подменил этот самый ID на ID другого, тестового аккаунта.
Попытавшись заменить значение cookie и обновив страницу, я мгновенно получил возможность видеть адреса электронной почты других [игроков].
Также было опубликовано видео, более наглядно демонстрирующее сам баг:
Харрис уже оповестил Microsoft об имеющейся уязвимости. Благодаря своевременной реакции специалистов компании, проблема была оперативно устранена. В свою очередь разработчик, нашедший её, может претендовать на денежное вознаграждение — отчёт об ошибке был отправлен в рамках программы Xbox bug bounty program, которая подразумевает выплаты до 20 000 долларов.
278 открытий281 показов