Баг на сайте Xbox позволил злоумышленникам узнать адреса электронной почты игроков

Для получения доступа к конфиденциальной информации, достаточно было провернуть нехитрые манипуляции на портале enforcement.xbox.com. Стоит отметить, что на момент написания материала, проблема была устранена.

Специалист по кибербезопасности Джозеф Харрис рассказал, что уязвимость была найдена в результате его желания проверить сервисы Microsoft на прочность. Для этого эксперт зашёл на портал Xbox Enforcement, где воспользовался незашифрованностью поля Xbox user ID в cookie-файлах сайта. Затем, использовав «‎инструменты, включённые во все современные браузеры», он подменил этот самый ID на ID другого, тестового аккаунта.

Попытавшись заменить значение cookie и обновив страницу, я мгновенно получил возможность видеть адреса электронной почты других [игроков].

Джозеф Харрис, Специалист по кибербезопасности

Также было опубликовано видео, более наглядно демонстрирующее сам баг:

Харрис уже оповестил Microsoft об имеющейся уязвимости. Благодаря своевременной реакции специалистов компании, проблема была оперативно устранена. В свою очередь разработчик, нашедший её, может претендовать на денежное вознаграждение — отчёт об ошибке был отправлен в рамках программы Xbox bug bounty program, которая подразумевает выплаты до 20 000 долларов.

Источник: ZDNet

Что думаете?