Gadgetshowto
Door een ernstige kwetsbaarheid in Xbox Live konden hackers naar verluidt de e-mail-ID zien van iedereen die de service gebruikte. Dat is volgens meerdere cyberveiligheidsonderzoekers die beweerden de maas in de wet te hebben ontdekt en dit aan Microsoft rapporteerden. De kwetsbaarheid is sindsdien aan de serverzijde gepatcht en Microsoft heeft een verklaring uitgegeven waarin staat dat gebruikers niets van hun kant hoeven te doen om het probleem te verhelpen.
Een van de onderzoekers die het probleem aan Microsoft heeft gemeld, is Joseph 'Doc' Harris, die het vertelde ZDNet dat de bug zich bevond op het domein'forcement.xbox.com ', waardoor Xbox-gebruikers stakingen tegen hun Xbox-profiel kunnen bekijken en beroep kunnen indienen als ze vinden dat ze onterecht zijn berispt.
Volgens Harris bevatten de cookies van de portal een Xbox-gebruikers-ID (XUID) -veld dat niet versleuteld was, waardoor hackers de e-mails van andere gebruikers konden zien door simpelweg de XUID-cookiewaarde te vervangen door de XUID van een testaccount dat hij had aangemaakt voor testdoeleinden. als onderdeel van het Xbox Bug Bounty-programma. "Geprobeerd om de cookiewaarde te vervangen en te vernieuwen, en plotseling kon ik andere (gebruikers) e-mails zien", hij vertelde de blog blijkbaar eerder deze week in een interview.
Zoals eerder vermeld, heeft Microsoft een patch uitgerold die de XUID versleutelt. In een officiële verklaring zei het bedrijf van wel "Heeft een update uitgebracht om klanten te helpen beschermen". De bug werd echter niet gedekt door het Xbox-bugbounty-programma, wat betekent dat Harris geen financiële beloning heeft ontvangen voor zijn onderzoek, hoewel Microsoft ermee heeft ingestemd om hem als bijdrager op de Bug Bounty Hall of Fame te plaatsen.
