Ошибка в Xbox Live предоставила хакерам доступ к адресам электронной почты через Gamertag

Microsoft пришлось исправить ошибку, которая позволяла хакерам получать доступ к любой электронной почте, зарегистрированной на геймертег игрока

Ошибка в Xbox Live позволяла хакерам находить любую электронную почту, связанную с зарегистрированным тегом игрока. Сайт, используемый для сообщения о плохом поведении в онлайн-сообществе Xbox, скрывал уязвимость, которая позволяла хакерам перехватывать адреса электронной почты пользователей.

На прошлой неделе анонимный хакер обратился к изданию Motherboard и заявил, что может узнать электронную почту, скрывающуюся за чьим-либо тегом игрока Xbox. По умолчанию адреса электронной почты, связанные с тегами игроков, являются скрытыми. Редакторы смогли проверить наличие уязвимости, предоставив хакеру два тега игрока, включая один, созданный всего за несколько минут для этой проверки. Хакер прислал адреса электронной почты, которые использовались для регистрации учёток, в течение нескольких секунд.

Второй аноним сообщил, что ошибка была на поддомене команды по политике и обеспечению соблюдения правил, где геймеры могут связаться с представителями компании, которая контролирует онлайн-сообщество Xbox.

После того, как Motherboard связалась с Microsoft на прошлой неделе, корпорация поспешила исправить ошибку. Первоначально Microsoft Security Response Center, или MSRC, часть компании, которая защищает клиентов от уязвимостей безопасности в продуктах и ​​программном обеспечении Microsoft, не считала ошибку серьёзной угрозой безопасности.

«Мы получили несколько отчётов по этому поводу и проинформировали соответствующую команду о проблеме и позволим им решить её по мере необходимости», – говорилось в сообщении MSRC. «Электронное письмо может считаться конфиденциальной информацией, однако, поскольку оно не предоставляет ничего другого для идентификации эмитента, не соответствует требованиям MSRC для обслуживания. Таким образом, MSRC не отслеживает проблему и оставит её на усмотрение группы по продуктам для определения мер по смягчению последствий по мере необходимости».

В этот вторник представитель Microsoft подтвердил, что компания «выпустила обновление для защиты клиентов».

Вы работаете или работали в Microsoft? Вы ещё что-нибудь знаете о компании? Мы хотели бы связаться с вами, используя нерабочий телефон или компьютер, вы можете безопасно связаться с Лоренцо Франчески-Биккьерай по Signal телефону +1 917 257 1382, по Wickr адресу lorenzofb, в чате OTR по адресу lorenzofb@jabber.ccc.de или по электронной почте lorenzofb@vice.com.

Хакер, который предупредил издание Motherboard об ошибке, попросил опубликовать эту историю только после исправления уязвимости со стороны Microsoft.

Если вы опубликуете статью до того, как ошибка будет исправлена, уязвимость будет найдена в течение 2-3 минут. Это самая лёгкая уязвимость, которую я когда-либо находил.

Хакер объяснил, что можно было бы злоупотребить ошибкой и перебрать теги игроков, чтобы узнать адреса электронной почты сотен, если не тысяч игроков Xbox. В 2017 году злоумышленники воспользовались аналогичной ошибкой в ​​Instagram и даже создали базу данных с возможностью поиска, чтобы совершать DDOS-атаки на знаменитости. Ошибка могла быть использована для преследования и травли любого, у кого есть геймертег.

Аноним, первый сообщивший об ошибке, не единственный, кто знал об этом. Другой человек обратился к редактору сайта и спросил, знает ли он о «том нулевом дне Xbox», используя технический термин для обозначения неизвестной уязвимости. Затем хакер сообщил, что он имел в виду метод «извлечения любой электронной почты из любого тега игрока», основанный на ошибке веб-сайта Xbox Live Enforcement.

«Это большой провал конфиденциальности», – сказал эксперт по безопасности, работающий в игровой индустрии и попросил сохранить анонимность, потому что сотрудники не уполномочены общаться с прессой. «Это какая-то ирония, если через их портал доверия и безопасности утекает личная информация».

Источник

Поделиться в соц.сетях:

Вам также может понравиться...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *