Microsoft ha corregido un error en el sitio web de Xbox que
podría haber permitido a atacantes mal intencionados vincular las etiquetas de
jugadores de Xbox (nombres de usuario) a las direcciones de correo electrónico
reales de los usuarios.
La vulnerabilidad se informó a Microsoft a través del programa
de recompensas por encontrar errores de
Xbox lanzado recientemente por la compañía.
Joseph “Doc” Harris, uno de los varios
investigadores de seguridad que informó del problema a Microsoft y compartió
sus hallazgos a principios de esta semana.
El investigador de seguridad dijo que el error se localizó
enforcement.xbox.com, el portal web al que los usuarios de Xbox van para ver
las penalidades contra su perfil de Xbox y presentar apelaciones si sienten que
han sido reprendidos injustamente por su comportamiento en la red de Xbox.
Una vez que los usuarios inician sesión en este sitio web,
el sitio de cumplimiento de Xbox crea un archivo de cookies en su navegador con
detalles sobre su sesión web, por lo que no tendrán que volver a autenticarse
la próxima vez que visiten el sitio nuevamente.
Harris dijo que el archivo de cookies de este portal
incluido contenía un campo de ID de usuario de Xbox (XUID) que no estaba
encriptado.
(adsbygoogle = window.adsbygoogle || []).push({});
Utilizando herramientas incluidas con todos los navegadores
modernos, Harris editó el campo XUID y lo reemplazó con el XUID de una cuenta
de prueba que había creado y usado para probar como parte del programa de
recompensas por errores de Xbox.
“Intenté reemplazar el valor de las cookies y
actualizar, y de repente pude ver los correos electrónicos de otros
[usuarios]”, dijo Harris.
Harris también compartió un video del error, incluido a
continuación:
Fuente Joseph Harris
Microsoft implementó un parche para este error el mes
pasado. “La solución fue cifrar el XUID”, nos dijo Harris.
La solución se implementó en el lado del servidor y “no
hay pasos adicionales que los usuarios deban tomar para mantenerse
protegidos”, dijo un portavoz de Microsoft en un correo electrónico el
martes.
(adsbygoogle = window.adsbygoogle || []).push({});
Harris dijo que otros subdominios de Xbox no sufren el mismo
problema.
Un analista de seguridad que trabaja para el Centro de
Respuesta de Seguridad de Microsoft, que prueba los informes de errores, dijo
que el error no estaba cubierto por el programa de recompensas de errores de
Xbox, pero la compañía acordó incluir a Harris en su Salón de la Fama de
Recompensas de Errores como colaborador, independientemente.
Aunque Microsoft no clasificó este error como digno de una
recompensa monetaria porque el error no se puedo usar para secuestrar Xbox, el
error podría haber permitido a los actores de amenazas vincular cualquier
etiqueta de jugador de Xbox a la dirección de correo electrónico real de un
jugador. La vinculación de las cuentas de correo electrónico con las
identidades del mundo real de los jugadores ha llevado a muchos casos de acoso.
Fuente: ZDnet
