Một lỗ hổng nghiêm trọng trong Xbox Live đã cho phép tin tặc xem ID e-mail của bất kỳ ai đã sử dụng dịch vụ. Đó là theo nhiều nhà nghiên cứu an ninh mạng, những người tuyên bố đã phát hiện ra lỗ hổng và báo cáo nó cho Microsoft. Lỗ hổng bảo mật kể từ đó đã được vá ở phía máy chủ và Microsoft đã đưa ra một tuyên bố nói rằng người dùng không phải làm bất cứ điều gì từ phía họ để giảm thiểu vấn đề.
Một trong những nhà nghiên cứu đã báo cáo vấn đề với Microsoft là Joseph ‘Doc’ Harris, người đã nói với ZDNet rằng lỗi nằm trên tên miền ‘execute.xbox.com’, cho phép người dùng Xbox xem các cảnh cáo đối với hồ sơ Xbox của họ và gửi đơn kháng cáo nếu họ cảm thấy mình bị khiển trách một cách bất công.
Theo Harris, cookie của cổng thông tin chứa trường ID người dùng Xbox (XUID) không được mã hóa, cho phép tin tặc xem được e-mail của người dùng khác bằng cách thay thế giá trị cookie XUID bằng XUID của tài khoản thử nghiệm mà anh ta đã tạo cho mục đích thử nghiệm. như một phần của chương trình tiền thưởng lỗi Xbox. “Đã cố gắng thay thế giá trị cookie và làm mới, và đột nhiên tôi có thể thấy các email (của người dùng) khác”, anh ấy dường như đã nói với blog trong một cuộc phỏng vấn vào đầu tuần này.
Như đã đề cập, Microsoft đã tung ra một bản vá mã hóa XUID. Trong một tuyên bố chính thức, công ty cho biết họ có “Đã phát hành bản cập nhật để giúp bảo vệ khách hàng”. Tuy nhiên, lỗi này không nằm trong chương trình thưởng lỗi Xbox, có nghĩa là Harris đã không nhận được bất kỳ phần thưởng tài chính nào cho nghiên cứu của mình, mặc dù Microsoft đã đồng ý giới thiệu anh ta trên Bug Bounty Hall of Fame với tư cách là một người đóng góp.
