Баг на сайте Xbox позволил злоумышленникам узнать адреса электронной почты игроков
При этом для этих целей было достаточно немного «пошаманить» с файлами cookie на портале Xbox Enforcement.
Специалист по кибербезопасности Джозеф Харрис рассказал, что уязвимость была найдена в результате его желания проверить сервисы Microsoft на прочность. Для этого эксперт зашёл на портал Xbox Enforcement, где воспользовался незашифрованностью поля Xbox user ID в cookie-файлах сайта. Затем, использовав «инструменты, включённые во все современные браузеры», он подменил этот самый ID на ID другого, тестового аккаунта.
Попытавшись заменить значение cookie и обновив страницу, я мгновенно получил возможность видеть адреса электронной почты других [игроков].
Также было опубликовано видео, более наглядно демонстрирующее сам баг:
Харрис уже оповестил Microsoft об имеющейся уязвимости. Благодаря своевременной реакции специалистов компании, проблема была оперативно устранена. В свою очередь разработчик, нашедший её, может претендовать на денежное вознаграждение — отчёт об ошибке был отправлен в рамках программы Xbox bug bounty program, которая подразумевает выплаты до 20 000 долларов.
278 открытий279 показов
В третьем раунде батла за звание лучшего программиста в мире схлестнутся Билл Гейтс и Виталик Бутерин, Никлаус Вирт и Сатоши Накамото.
Рассказываем об архитектуре LLM и требованиях к данным для создания «частного ChatGPT», который использует ваши собственные данные.
Рассказали историю алжирского хакера Хамзы Бенделладжа, который украл миллионы долларов и стал народным героем вроде Робина Гуда.
Свежее приложение Phone Link позволит пользователям ОС Windows 11 получить доступ к iMessage и сообщениям без iPhone.