En af forskerne, der rapporterede problemet til Microsoft, er Joseph ”Doc' Harris”, der fortalte ZDNet, at fejlen var placeret på domænet ”enforcement.xbox.com”, hvilket gør det muligt for Xbox-brugere at se strikes mod deres Xbox-profil og indsende klage. hvis de føler, at de er blevet uretfærdigt irettesat.
Ifølge Harris indeholdt portalens cookies et Xbox-bruger-id (XUID) -felt, der ikke var krypteret, hvilket gjorde det muligt for hackere at se andre brugeres e-mails ved blot at erstatte XUID-cookieværdien med XUID fra en testkonto, han havde oprettet til testformål. som en del af Xbox bug bounty-programmet.
“Tried replacing the cookie value and refreshing, and suddenly I was able to see other (users’) emails”, fortalte han i et interview til ZDNet.
Som allerede nævnt har Microsoft frigivet en patch, der krypterer XUID. I en officiel erklæring sagde virksomheden, at det har “released an update to help protect customers”. Fejlen blev dog ikke dækket af Xbox bug bounty-programmet, hvilket betyder, at Harris ikke høstede nogen økonomisk belønning for sin opdagelse, selvom Microsoft har accepteret at præsentere ham i sin Bug Bounty Hall of Fame som en bidragsyder.
Source & Image credit:
ZDNet, Microsoft