Gadgetshowto
En allvarlig sårbarhet i Xbox Live tillät enligt uppgift hackare att se e-post-ID för alla som använde tjänsten. Det är enligt flera cybersäkerhetsforskare som påstod sig ha upptäckt kryphålet och rapporterat det till Microsoft. Sårbarheten har sedan patchats på serversidan, och Microsoft har utfärdat ett uttalande som säger att användare inte behöver göra någonting från deras sida för att mildra problemet.
En av forskarna som rapporterade problemet till Microsoft är Joseph 'Doc' Harris, som berättade ZDNet att felet var beläget på domänen 'env.xbox.com', vilket gör det möjligt för Xbox-användare att se strejker mot sin Xbox-profil och överklaga om de anser att de har blivit orättvist påtalade.
Enligt Harris innehöll portalens kakor ett Xbox User ID (XUID) -fält som var okrypterat, vilket gjorde det möjligt för hackare att se andra användares e-postmeddelanden genom att bara ersätta XUID-kakavärdet med XUID för ett testkonto som han hade skapat för teständamål. som en del av Xbox bug bounty-programmet. "Försökte byta ut kakvärdet och uppdatera, och plötsligt kunde jag se andra (användares) e-postmeddelanden", berättade han uppenbarligen för bloggen i en intervju tidigare i veckan.
Som redan nämnts har Microsoft rullat ut en patch som krypterar XUID. I ett officiellt uttalande sa företaget att det har gjort det "Släppte en uppdatering för att skydda kunderna". Felet täcktes dock inte av Xbox bug bounty-programmet, vilket innebär att Harris inte skörde någon ekonomisk belöning för sin forskning, men Microsoft har gått med på att presentera honom i sin Bug Bounty Hall of Fame som en bidragsgivare.
