Kerentanan Xbox Live Memungkinkan Peretas Melihat Alamat Email Setiap Pengguna

Kerentanan kritis di Xbox Live telah memungkinkan peretas untuk melihat ID email siapa pun yang telah menggunakan layanan tersebut. Itu menurut banyak peneliti keamanan siber yang mengklaim telah menemukan kerentanan dan melaporkannya ke Microsoft. Kerentanan telah ditambal di sisi server, dan Microsoft merilis pernyataan yang mengatakan bahwa pengguna tidak perlu melakukan apa pun untuk mengurangi masalah.

Salah satu peneliti yang melaporkan masalah ini ke Microsoft adalah Joseph ‘Doc’ Harris, yang mengatakan ZDNet bahwa bug berada di domain ‘execute.xbox.com’, memungkinkan pengguna Xbox untuk melihat teguran terhadap profil Xbox mereka dan mengajukan banding jika mereka merasa telah ditegur secara tidak adil.

Menurut Harris, cookie portal berisi bidang ID Pengguna Xbox (XUID) yang tidak terenkripsi, yang memungkinkan peretas untuk melihat email pengguna lain dengan mengganti nilai cookie XUID dengan XUID akun pengujian yang dia buat untuk tujuan pengujian. sebagai bagian dari program hadiah bug Xbox. “Mencoba mengganti nilai cookie dan menyegarkan, dan tiba-tiba saya dapat melihat email (pengguna) lain”katanya kepada blog tersebut dalam sebuah wawancara awal pekan ini.

Seperti yang disebutkan, Microsoft telah merilis tambalan enkripsi XuID. Dalam sebuah pernyataan resmi, perusahaan mengatakan telah “Diperbarui untuk membantu melindungi pelanggan”. Namun, bug tersebut bukan bagian dari program bounty bug Xbox, yang berarti bahwa Harris belum menerima imbalan finansial untuk penelitiannya, meskipun Microsoft telah setuju untuk menampilkannya di Bug Bounty Hall of Fame sebagai kontributor.