Недавно запущенная программа bug bounty для Xbox уже приносит свои плоды. Сразу несколько ИБ-специалистов уведомили компанию Microsoft об ошибке на сайте Xbox, которая позволяла связать теги игроков (имена пользователей) с реальными адресами электронной почты.
Одним из специалистов, нашедших проблему, был Джозеф Харрис, и теперь он рассказал подробности о баге журналистам издания ZDNet. Ошибка была связана с порталом enforcement.xbox.com, к которому пользователи Xbox обращаются в том случае, если им нужно проверить страйки, связанных с их профилем, а также подать апелляцию за несправедливое наказание.
Когда пользователь входит на Xbox Enforcement, сайт создает файл cookie в браузере с подробной информацией о веб-сессии, поэтому при следующем посещении сайта не придется проходить повторную аутентификацию.
Харрис объясняет, что cookie этого портала содержит поле ID пользователя Xbox (XUID), которое незашифровано. Используя инструменты разработчика, доступные в любом современном браузере, Харрис сумел отредактировать поле XUID и подменить идентификатор на XUID тестовой учетной записи, которую он создал специально для bug bounty программы Xbox.
«Пытаясь изменить значение cookie, я вдруг понял, что могу видеть email-адреса других [пользователей]», — рассказывает Харрис и демонстрирует видео такой атаки.
В настоящее время разработчики Microsoft уже исправили данных баг, зашфровав значение XUID на стороне сервера. При этом специалисты Microsoft Security Response Center, которые изучают отчеты об ошибках, сообщили изданию, что данная уязвимость не подпадает под bug bounty программу Xbox, но Харриса все же включили в зал славы компании, как одного из соавторов обнаружения проблемы.