Баг на веб-сайте Xbox дозволил злодеям выяснить адреса электрической почты игроков

Спец по кибербезопасности Джозеф Харрис поведал, что уязвимость была найдена в итоге его желания проверить сервисы Microsoft на крепкость. Для этого эксперт зашёл на портал Xbox Enforcement, где пользовался незашифрованностью поля Xbox user ID в cookie-файлах веб-сайта. Потом, использовав «‎инструменты, включённые во все современные браузеры», он подменил этот самый ID на ID другого, тестового аккаунта.

Попытавшись поменять значение cookie и обновив страничку, я одномоментно получил возможность созидать адреса электрической почты остальных [игроков].

Джозеф Харрис, Спец по кибербезопасности

Также было размещено видео, наиболее наглядно демонстрирующее сам баг:

Харрис уже оповестил Microsoft о имеющейся уязвимости. Благодаря своевременной реакции профессионалов компании, неувязка была оперативно устранена. В свою очередь разраб, нашедший её, может претендовать на валютное вознаграждение — отчёт о ошибке был выслан в рамках программки Xbox bug bounty program, которая предполагает выплаты до 20 000 баксов.

Источник: tproger.ru

Поделиться с друзьями:
Андройд IT
Добавить комментарий