يقال إن Microsoft قامت بتصحيح خطأ في موقع Xbox على الويب والذي من المحتمل أن يعرض عناوين البريد الإلكتروني الحقيقية للمستخدمين المرتبطة بعلامات ألعاب Xbox الخاصة بهم. تم الإبلاغ عن هذه الثغرة الأمنية إلى الشركة من خلال برنامج مكافأة الأخطاء وتم إصلاحها منذ ذلك الحين. تمت مشاركة نتائج الخطأ الذي تم العثور عليه على فرض .xbox.com مع منشور على الإنترنت في وقت سابق من هذا الأسبوع. يوضح التقرير أن حقل معرف مستخدم Xbox (XUID) لم يتم تشفيره في فرض .xbox.com.
وفقًا لتقرير صادر عن ZDNet ، اكتشف جوزيف “Doc” Harris وفريق من الباحثين الأمنيين الخطأ فيcement.xbox.com. يسمح موقع الويب ، response.xbox.com ، لمستخدمي Xbox بمشاهدة الإنذارات ضد ملفاتهم الشخصية ، بالإضافة إلى تقديم طلبات الاستئناف إذا شعروا أن الضربة غير عادلة. لقد وجد أنه بعد قيام المستخدم بتسجيل الدخول إلى موقع الويب ، فإنه يقوم بإنشاء ملف تعريف ارتباط مع تفاصيل جلسة الويب في متصفحه. تضمن ملف تعريف الارتباط هذا حقل معرف مستخدم Xbox غير مشفر (XUID).
كان Harris قادرًا على استخدام أدوات المتصفح القياسية لتحرير حقل XUID واستبداله بـ XUID لحساب اختباري قام بإنشائه لبرنامج مكافأة أخطاء Xbox. بمجرد استبدال القيمة وتحديث الصفحة ، كانت رسائل البريد الإلكتروني للمستخدمين الآخرين مرئية. تحقق من الفيديو من قبل هاريس بالتفصيل نفسه.
لوحظ أن المجالات الفرعية الأخرى لم تتأثر بهذا الخطأ. يذكر التقرير أن Microsoft قامت بتصحيح هذا الخطأ الشهر الماضي وقامت بتشفير XUID. لقد كان إصلاحًا من جانب الخادم وأخبر متحدث باسم Microsoft ZDNet أن المستخدمين لا يحتاجون إلى فعل أي شيء. بالإضافة إلى ذلك ، على الرغم من أن الخطأ لم يتم تغطيته في إطار برنامج المكافآت الخاص بالشركة ، فقد ظهر هاريس كمساهم في Bug Bounty Hall of Fame. ومع ذلك ، لم يكن هناك مكافأة مالية.
كان لهذا الخطأ إمكانية تسريب معرفات البريد الإلكتروني الفعلية للمتسللين والتي يمكن استخدامها بعد ذلك لأغراض ضارة. الأمر المثير للقلق هو أنه لم تكن هناك حاجة لأداة خاصة للوصول إلى معرف البريد الإلكتروني لمستخدم آخر.
ما هو أفضل تلفزيون تحت روبية. 25000؟ لقد ناقشنا هذا الأمر على Orbital ، البودكاست التكنولوجي الأسبوعي الخاص بنا ، والذي يمكنك الاشتراك فيه عبر Apple Podcasts أو Google Podcasts أو RSS أو تنزيل الحلقة أو الضغط على زر التشغيل أدناه.
----اعلان----
