Recentemente, a Microsoft corrigiu uma vulnerabilidade no site do Xbox que permitia que cibercriminosos conseguissem ter acesso ao e-mail dos usuários a partir de suas gamertags (nomes de usuário). A vulnerabilidade foi relatada por Joseph “Doc” Harris, um pesquisador de segurança, à empresa.
Ao comentar a vulnerabilidade, Harris afirma que o bug foi encontrado no site ‘enforcement.xbox.com’, usado por usuários de consoles Xbox para entender se houve algum ataque à conta e apelar em casos de punições injustas aplicadas pela empresa.
Após alguém logar no site, o endereço cria um arquivo cookie no navegador com detalhes sobre a sessão. Isso é feito para que não seja necessário inserir as credenciais novamente quando um novo acesso for feito.
Harris afirma que esse arquivo possuía um campo destinado ao ID de usuário do Xbox (XUID). No entanto, essa informação não estava criptografada. Por conta disso, usando a opção de acessar os cookies do navegador, o pesquisador conseguiu acesso ao código e substituiu a identificação por outra proveniente de uma conta de testes que ele usa.
Ao trocar as informações, o site é atualizado e o e-mail associado ao novo ID é exibido. “Tentei substituir o valor do cookie e atualizar, e de repente pude ver os e-mails de outros usuários”, afirma Harris em entrevista ao ZDNet.
Correção
Vulnerabilidade permitia que hacker tivessem acesso aos e-mails associados às contas do Xbox Live. Foto: Gorodenkoff/Shutterstock
Para resolver a questão, a Microsoft lançou um patch de correção. “A solução foi criptografar o XUID”, disse Harris. No entanto, apesar de ter reparado o problema, a Microsoft não o considerou exatamente como uma falha.
Por isso, Harris não recebeu pela denúncia, apesar de ter utilizado o canal específico de recompensas da Microsoft para alertar sobre a questão. Segundo um analista de segurança que trabalha para o Security Response Center da empresa, que testa as denúncias feitas, o bug não seria coberto pelo programa, isso porque, apesar de ser uma falha, não poderia ser explorada para invadir o Xbox, por exemplo.
Mesmo assim, isso acende uma questão bastante importante do ponto de vista de segurança. Apesar de não ter sido considerada uma falha grave pela Microsoft, muitas pessoas usam o mesmo e-mail em mais de um serviço. Ter esse endereço nas mãos de alguém mal-intencionado pode ser potencialmente perigoso.
Via: ZDNet