Gadgetshowto
En alvorlig sårbarhed i Xbox Live tillod angiveligt, at hackere kunne se e-mail-id'et for alle, der brugte tjenesten. Det er ifølge flere cybersikkerhedsforskere, der hævdede at have opdaget smuthullet og rapporteret det til Microsoft. Sårbarheden er siden blevet patchet på serversiden, og Microsoft har udsendt en erklæring om, at brugerne ikke behøver at gøre noget fra deres side for at afbøde problemet..
En af forskerne, der rapporterede problemet til Microsoft, er Joseph 'Doc' Harris, der fortalte ZDNet at fejlen var placeret på domænet 'håndhævelse.xbox.com', som gør det muligt for Xbox-brugere at se strejker mod deres Xbox-profil og indgive appeller, hvis de føler, at de er blevet uretfærdigt irettesat.
Ifølge Harris indeholdt portalens cookies et Xbox-bruger-id (XUID) -felt, der ikke var krypteret, hvilket gjorde det muligt for hackere at se andre brugeres e-mails ved blot at erstatte XUID-cookieværdien med XUID fra en testkonto, han havde oprettet til testformål. som en del af Xbox bug bounty-programmet. "Forsøgte at udskifte cookieværdien og opdatere, og pludselig kunne jeg se andre (brugeres) e-mails", fortalte han tilsyneladende bloggen i et interview tidligere på ugen.
Som allerede nævnt har Microsoft rullet ud en patch, der krypterer XUID. I en officiel erklæring sagde virksomheden, at den har gjort det “Udgivet en opdatering for at beskytte kunder”. Fejlen blev dog ikke dækket af Xbox bug bounty-programmet, hvilket betyder, at Harris ikke høstede nogen økonomisk belønning for sin forskning, selvom Microsoft har accepteret at præsentere ham på sin Bug Bounty Hall of Fame som bidragyder.
