Спец по кибербезопасности Джозеф Харрис поведал, что уязвимость была найдена в итоге его желания проверить сервисы Microsoft на крепкость. Для этого эксперт зашёл на портал Xbox Enforcement, где пользовался незашифрованностью поля Xbox user ID в cookie-файлах веб-сайта. Потом, использовав «инструменты, включённые во все современные браузеры», он подменил этот самый ID на ID другого, тестового аккаунта.
Попытавшись поменять значение cookie и обновив страничку, я одномоментно получил возможность созидать адреса электрической почты остальных [игроков].
Джозеф Харрис, Спец по кибербезопасности
Также было размещено видео, наиболее наглядно демонстрирующее сам баг:
Харрис уже оповестил Microsoft о имеющейся уязвимости. Благодаря своевременной реакции профессионалов компании, неувязка была оперативно устранена. В свою очередь разраб, нашедший её, может претендовать на валютное вознаграждение — отчёт о ошибке был выслан в рамках программки Xbox bug bounty program, которая предполагает выплаты до 20 000 баксов.
Источник: