Microsoft ha corregido un error en el sitio web de Xbox que podría haber permitido a los actores de amenazas vincular las etiquetas de jugador de Xbox (nombres de usuario) a las direcciones de correo electrónico reales de los usuarios.
La vulnerabilidad se informó a Microsoft a través del programa de recompensas de errores de Xbox lanzado recientemente por la compañía.
Joseph «Doc» Harris, uno de los varios investigadores de seguridad que informó del problema a Microsoft este año, compartió sus hallazgos con ZDNet a principios de esta semana.
El investigador de seguridad dijo que el error se localizó enforcement.xbox.com, el portal web al que los usuarios de Xbox van para ver las huelgas contra su perfil de Xbox y presentar apelaciones si sienten que han sido reprendidos injustamente por su comportamiento en la red de Xbox.
Una vez que los usuarios inician sesión en este sitio web, el sitio de aplicación de Xbox crea un archivo de cookies en su navegador con detalles sobre su sesión web, por lo que no tendrán que volver a autenticarse la próxima vez que visiten el sitio nuevamente.
Harris dijo que el archivo de cookies de este portal incluido contenía un campo de ID de usuario de Xbox (XUID) que no estaba encriptado.
Utilizando las herramientas incluidas en todos los navegadores modernos, Harris editó el campo XUID y lo reemplazó con el XUID de una cuenta de prueba que había creado y usado para probar como parte del programa de recompensas por errores de Xbox. Microsoft implementó un parche para este error el mes pasado. «La solución fue cifrar el XUID», nos dijo Harris.
La solución se implementó en el lado del servidor y «no hay pasos adicionales que los usuarios deban tomar para mantenerse protegidos», dijo un portavoz de Microsoft en un correo electrónico. Harris dijo que otros subdominios de Xbox no sufren el mismo problema.
Un analista de seguridad que trabaja para el Centro de Respuesta de Seguridad de Microsoft, que prueba los informes de errores, dijo que el error no estaba cubierto por el programa de recompensas de de Xbox, pero la compañía acordó incluir a Harris en su Salón de la Fama de Recompensas de Errores como colaborador, independientemente.