Jeux Video & Accessories

Microsoft a corrigé un bogue Xbox qui pourrait avoir divulgué des identifiants de messagerie utilisateur: rapport


Microsoft aurait corrigé un bogue sur un site Web Xbox qui pourrait avoir potentiellement exposé les adresses e-mail réelles des utilisateurs associées à leurs balises de joueur Xbox. Cette vulnérabilité a été signalée à l’entreprise via son programme de primes de bogues et a depuis été corrigée. Les résultats du bogue qui aurait été trouvé sur execution.xbox.com ont été partagés avec une publication en ligne plus tôt cette semaine. Le rapport explique qu’un champ d’ID utilisateur Xbox (XUID) n’a pas été chiffré sur execution.xbox.com.

Selon un rapport par ZDNet, le bug dans application.xbox.com a été repéré par Joseph « Doc » Harris et une équipe de chercheurs en sécurité. Le site Web, execution.xbox.com, permet aux utilisateurs de Xbox de visualiser les avertissements contre leur profil, ainsi que de déposer des recours s’ils estiment que la frappe est injuste. Il a été constaté qu’une fois qu’un utilisateur s’est connecté au site Web, il crée un fichier cookie avec les détails de la session Web dans son navigateur. Ce fichier de cookie comprenait un champ d’ID utilisateur Xbox (XUID) non chiffré.

Harris a pu utiliser des outils de navigateur standard pour modifier le champ XUID et le remplacer par le XUID d’un compte de test qu’il avait créé pour le Programme de prime de bogue Xbox. Une fois qu’il a remplacé la valeur et actualisé la page, les e-mails des autres utilisateurs étaient visibles. Regardez la vidéo de Harris détaillant la même chose.

Il a été noté que les autres sous-domaines n’étaient pas affectés par ce bogue. Le rapport indique que Microsoft corrigé ce bogue le mois dernier et chiffré le XUID. Il s’agissait d’un correctif côté serveur et un porte-parole de Microsoft a déclaré à ZDNet que les utilisateurs n’avaient rien à faire. De plus, bien que le bogue n’ait pas été couvert par le programme de bug bounty de la société, il a présenté Harris en tant que contributeur dans son Bug Bounty Hall of Fame. Cependant, il n’y avait aucune récompense monétaire.

Le bogue avait le potentiel de divulguer des identifiants de messagerie réels à des pirates qui pourraient ensuite être utilisés à des fins malveillantes. Ce qui est alarmant, c’est qu’aucun outil spécial n’était nécessaire pour accéder à l’ID de messagerie d’un autre utilisateur.


Quel est le meilleur téléviseur sous Rs. 25 000? Nous en avons discuté sur Orbital, notre podcast technologique hebdomadaire auquel vous pouvez vous abonner via Podcasts Apple, Podcasts Google, ou RSS, télécharger l’épisode, ou appuyez simplement sur le bouton de lecture ci-dessous.

Les liens d’affiliation peuvent être générés automatiquement – voir notre déclaration d’éthique pour plus de détails.

.



Source link

You may also like

Leave a reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *