El error de Xbox podría haber permitido a los piratas informáticos vincular las etiquetas de jugador con los correos electrónicos de los usuarios.
Microsoft ha corregido un error en el sitio web de Xbox que podría haber permitido a los actores de amenazas vincular las etiquetas de jugador de Xbox (nombres de usuario) a las direcciones de correo electrónico reales de los usuarios.-
Microsoft elimina error de Xbox
La vulnerabilidad se informó a Microsoft a través del programa de recompensas de errores de Xbox lanzado recientemente por la compañía.
Joseph "Doc" Harris, uno de los varios investigadores de seguridad que informó del problema a Microsoft este año, compartió sus hallazgos con ZDNet a principios de esta semana.
El investigador de seguridad dijo que el error se localizó enforcement.xbox.com, el portal web al que los usuarios de Xbox van para ver las huelgas contra su perfil de Xbox y presentar apelaciones si sienten que han sido reprendidos injustamente por su comportamiento en la red de Xbox.
- Una vez que los usuarios inician sesión en este sitio web, el sitio de aplicación de Xbox crea un archivo de cookies en su navegador con detalles sobre su sesión web, por lo que no tendrán que volver a autenticarse la próxima vez que visiten el sitio nuevamente.
Harris dijo que el archivo de cookies de este portal incluido contenía un campo de ID de usuario de Xbox (XUID) que no estaba encriptado.
Utilizando las herramientas incluidas en todos los navegadores modernos, Harris editó el campo XUID y lo reemplazó con el XUID de una cuenta de prueba que había creado y usado para probar como parte del programa de recompensas por errores de Xbox.
"Intenté reemplazar el valor de las cookies y actualizar, y de repente pude ver los correos electrónicos de otros [usuarios]", dijo Harris a ZDNet en una entrevista esta semana.
- Microsoft implementó un parche para este error el mes pasado. "La solución fue cifrar el XUID", nos dijo Harris.
Xbox
La solución se implementó en el lado del servidor y "no hay pasos adicionales que los usuarios deban tomar para mantenerse protegidos", dijo un portavoz de Microsoft en un correo electrónico el martes.
Harris dijo que otros subdominios de Xbox no sufren el mismo problema.
Un analista de seguridad que trabaja para el Centro de Respuesta de Seguridad de Microsoft, que prueba los informes de errores, dijo que el error no estaba cubierto por el programa de recompensas de de Xbox, pero la compañía acordó incluir a Harris en su Salón de la Fama de Recompensas de Errores como colaborador, independientemente.
Aunque Microsoft no clasificó este error como digno de una recompensa monetaria porque el error no se pudo usar para secuestrar Xbox, el error podría haber permitido a los actores de amenazas vincular cualquier etiqueta de jugador de Xbox a la dirección de correo electrónico real de un jugador.
La vinculación de las cuentas de correo electrónico con las identidades del mundo real de los jugadores ha llevado a muchos casos de acoso y es trivial en estos días con la ayuda de la gran cantidad de herramientas OpSec disponibles en línea que pueden establecer conexiones entre diferentes perfiles en línea, incluso a partir de la información personal más pequeña.
Te recomendamos: La Xbox Series X parece tener un problema con la unidad de disco
¿Crees que Xbox debería de ofrecer mayor seguridad a sus usuarios? La Verdad Noticias quiere conocer tu opinión, déjanos tus comentarios.
Síguenos en Facebook y entérate de las noticias trend de la semana
No hay comentarios.:
Publicar un comentario