Microsoft a corrigé un bogue du site Web Xbox qui aurait donné aux cyberattaquants l’accès à l’adresse e-mail des utilisateurs utilisée pour enregistrer n’importe quel Xbox Gamertag (nom d’utilisateur). Selon ZDNet, la vulnérabilité a été signalée à Microsoft via son programme de primes de bogues Xbox récemment lancé. Selon les chercheurs, le bogue existait dans le portail Web Xbox Enforcement qui fournit des informations sur les politiques régissant le service Xbox. Le rapport explique que si les attaquants avaient accès à l’adresse e-mail, l’identité réelle des utilisateurs aurait été compromise, augmentant ainsi les risques de cyber-harcèlement, de tentatives de phishing et bien d’autres risques.
Selon l’un des chercheurs, Joseph ‘Doc’ Harris, qui a partagé les résultats avec la publication, a déclaré que le site Xbox Enforcement crée un fichier cookie dans le navigateur des utilisateurs avec des détails sur les sessions Web et plus encore. Ce cookie permet essentiellement aux utilisateurs de revenir sur le site Web sans avoir besoin de se ré-authentifier à chaque nouvelle session. Cependant, le fichier cookie du portail, qui comprend également l’ID utilisateur Xbox (Gamertag), n’était pas crypté et risquait d’être piraté. Le bogue est un peu similaire à un bogue du jour zéro qui est souvent inconnu des attaquants, et qui est juste à l’état sauvage à l’insu de personne.
Harris a expliqué qu’il avait utilisé, avec des chercheurs, des outils de navigateur modernes pour vérifier la faille sur le portail Microsoft Xbox Enforcement. Il a en outre présenté les résultats dans une vidéo, disponible sur YouTube. Le rapport note que Microsoft a déployé un correctif côté serveur après que les chercheurs ont notifié la faille existante. Bien que Microsoft n’ait pas encore abordé publiquement le problème, la société, en réponse à ZDNet, a reconnu le bogue.
Un analyste de la sécurité travaillant pour le centre de réponse de sécurité de Microsoft, qui teste les rapports de bogues, a déclaré que le bogue n’était pas couvert par le programme de prime de bogue Xbox, mais la société a accepté de faire figurer Harris dans son Bug Bounty Hall of Fame en tant que contributeur, quoi qu’il en soit.
