Gadgetshowto
Une vulnérabilité sérieuse dans Xbox Live aurait permis aux pirates de voir l'ID de messagerie de toute personne qui utilisait le service. C'est selon plusieurs chercheurs en cybersécurité qui ont affirmé avoir découvert la faille et l'avoir signalée à Microsoft. La vulnérabilité a depuis été corrigée côté serveur, et Microsoft a publié une déclaration indiquant que les utilisateurs n'ont rien à faire de leur part pour atténuer le problème..
L'un des chercheurs qui a signalé le problème à Microsoft est Joseph 'Doc' Harris, qui a déclaré ZDNet que le bogue était localisé sur le domaine ``forcement.xbox.com '', ce qui permet aux utilisateurs Xbox d'afficher les avertissements contre leur profil Xbox et de déposer des appels s'ils estiment avoir été injustement réprimandés.
Selon Harris, les cookies du portail contenaient un champ d'ID utilisateur Xbox (XUID) non chiffré, permettant aux pirates de voir les e-mails des autres utilisateurs en remplaçant simplement la valeur du cookie XUID par le XUID d'un compte de test qu'il avait créé à des fins de test. dans le cadre du programme Xbox Bug Bounty. "J'ai essayé de remplacer la valeur du cookie et de l'actualiser, et j'ai soudainement pu voir d'autres e-mails (des utilisateurs)", il a apparemment déclaré au blog dans une interview plus tôt cette semaine.
Comme mentionné précédemment, Microsoft a déployé un correctif cryptant le XUID. Dans un communiqué officiel, la société a déclaré avoir "A publié une mise à jour pour aider à protéger les clients". Le bogue, cependant, n'a pas été couvert par le programme de primes de bogues Xbox, ce qui signifie que Harris n'a récolté aucune récompense financière pour ses recherches, bien que Microsoft ait accepté de le faire figurer sur son Bug Bounty Hall of Fame en tant que contributeur.
