Gadgetshowto
Eine schwerwiegende Sicherheitslücke in Xbox Live ermöglichte es Hackern Berichten zufolge, die E-Mail-ID aller Personen anzuzeigen, die den Dienst genutzt haben. Dies geht aus Sicht mehrerer Cyber-Sicherheitsforscher hervor, die behaupteten, die Lücke entdeckt und Microsoft gemeldet zu haben. Die Sicherheitsanfälligkeit wurde seitdem serverseitig gepatcht, und Microsoft hat eine Erklärung veröffentlicht, dass Benutzer nichts von ihrer Seite tun müssen, um das Problem zu beheben.
Einer der Forscher, die Microsoft das Problem gemeldet haben, ist Joseph 'Doc' Harris, der es erzählte ZDNet dass sich der Fehler in der Domain "assertion.xbox.com" befand, die es Xbox-Benutzern ermöglicht, Streiks gegen ihr Xbox-Profil anzuzeigen und Einsprüche einzulegen, wenn sie das Gefühl haben, zu Unrecht gerügt worden zu sein.
Laut Harris enthielten die Cookies des Portals ein unverschlüsseltes Xbox-Benutzer-ID-Feld (XUID), mit dem Hacker die E-Mails anderer Benutzer anzeigen konnten, indem sie lediglich den XUID-Cookie-Wert durch die XUID eines Testkontos ersetzten, das er zu Testzwecken erstellt hatte als Teil des Xbox Bug Bounty Programms. "Ich habe versucht, den Cookie-Wert zu ersetzen und zu aktualisieren, und plötzlich konnte ich andere (Benutzer-) E-Mails sehen.", er erzählte dem Blog anscheinend Anfang dieser Woche in einem Interview.
Wie bereits erwähnt, hat Microsoft einen Patch zur Verschlüsselung der XUID eingeführt. In einer offiziellen Erklärung sagte das Unternehmen, dass dies der Fall ist "Hat ein Update veröffentlicht, um Kunden zu schützen". Der Fehler wurde jedoch nicht durch das Xbox Bug Bounty-Programm abgedeckt, was bedeutet, dass Harris keine finanzielle Belohnung für seine Forschung erhalten hat, obwohl Microsoft zugestimmt hat, ihn als Mitwirkenden in die Bug Bounty Hall of Fame aufzunehmen.
