Уязвимость в Xbox позволяла через логины игроков узнавать их адреса электронной почты

Компания Microsoft исправила уязвимость в web-сайте Xbox, эксплуатация которой позволяла злоумышленникам с помощью тегов игроков Xbox (логинов) узнавать реальные адреса электронной почты пользователей. Об этом изданию ZDNet сообщил исследователь безопасности Джозеф Харрис (Joseph Harris).

Проблема была обнаружена в web-портале execution.xbox.com, куда пользователи Xbox заходят для просмотра предупреждений, касающихся их профиля Xbox, и подачи апелляций, если они считают, что им был вынесен несправедливый выговор за поведение в сети Xbox. После авторизации на сайте Xbox Enforcement создает cookie-файл в браузере с подробной информацией о web-сеансе пользователя, позволяя избегать процесс авторизации при следующем посещении сайта.

Включенный cookie-файл портала содержит поле идентификатора пользователя Xbox (XUID), которое не было зашифровано. Используя инструменты, включенные во все современные браузеры, Харрис отредактировал поле XUID и заменил его на XUID тестовой учетной записи, которую он создал и использовал для тестирования в рамках программы вознаграждения за найденные уязвимости от Xbox.

«Я пытался заменить значение cookie-файла и обновить его, и внезапно смог увидеть адреса электронной почты других пользователей», — сказал Харрис.

Microsoft исправила данную проблему на стороне сервера, так что пользователям не нужно предпринимать никаких дополнительных действий.