Gadgetshowto
En alvorlig sårbarhet i Xbox Live tillot angivelig at hackere kunne se e-post-ID-en til alle som brukte tjenesten. Det er ifølge flere cybersikkerhetsforskere som hevdet å ha oppdaget smutthullet og rapportert det til Microsoft. Sårbarheten har siden blitt lappet på serversiden, og Microsoft har utstedt en uttalelse som sier at brukerne ikke trenger å gjøre noe for å redusere problemet..
En av forskerne som rapporterte problemet til Microsoft er Joseph 'Doc' Harris, som fortalte ZDNet at feilen var lokalisert på domene'ecution.xbox.com ', som gjør det mulig for Xbox-brukere å se streik mot sin Xbox-profil og arkivere hvis de føler at de har blitt urettferdig irettesatt.
Ifølge Harris inneholdt portalens informasjonskapsler et Xbox User ID (XUID) -felt som ikke var kryptert, slik at hackere kunne se andre brukeres e-post ved å bare erstatte XUID-cookieverdien med XUID til en testkonto han hadde opprettet for testformål. som en del av Xbox bug bounty-programmet. "Prøvde å erstatte informasjonskapselverdien og forfriskende, og plutselig var jeg i stand til å se andre (brukernes) e-postmeldinger", fortalte han tilsynelatende bloggen i et intervju tidligere denne uken.
Som allerede nevnt har Microsoft rullet ut en oppdatering som krypterer XUID. I en offisiell uttalelse sa selskapet at den har gjort det “Ga ut en oppdatering for å beskytte kunder”. Feilen ble imidlertid ikke dekket av Xbox bug bounty-programmet, noe som betyr at Harris ikke høstet noen økonomisk belønning for sin forskning, selv om Microsoft har gått med på å presentere ham på sin Bug Bounty Hall of Fame som en bidragsyter.
