Компания Microsoft исправила уязвимость на сайте Xbox, который мог позволить злоумышленникам связывать профили игроков с их реальными электронными адресами.
Уязвимость была обнаружена в рамках программы поиска багов в Xbox, которую Microsoft запустила в январе этого года.
Джозеф «Doc» Харрис был среди тех исследователей безопасности, которые сообщили Microsoft о проблеме.
Он сказал, что баг находился на сайте enforcement.xbox.com – это портал, на котором игроки могут посмотреть и оспорить страйки в отношении своих аккаунтов.
После входа в аккаунт в браузере игрока создается файл cookie с деталями о сессии. Поэтому пользователям не нужно авторизоваться заново при следующем посещении.
Харрис говорит, что этот файл cookie содержал также незашифрованный ID пользователя Xbox (XUID).
Используя инструменты, которые есть в каждом браузере, Харрис заменил XUID на XUID тестового аккаунта.
«Я попробовал изменить значение cookie и обновил его, и внезапно я смог увидеть электронные адреса других пользователей», – сообщает эксперт.
В Microsoft исправили сбой в прошлом месяце.
По словам Харриса, все, что нужно было сделать, – это зашифровать XUID.