Un bug Xbox permettait de lier les tags des joueurs avec leurs e-mails
Microsoft a corrigé un bug sur le site web Xbox qui aurait pu permettre aux acteurs de la menace de lier les tags (noms d’utilisateur) des joueurs Xbox aux adresses électroniques réelles des utilisateurs.
La vulnérabilité a été signalée à Microsoft par l’intermédiaire du programme Xbox bug bounty program récemment lancé par la société .
Joseph “Doc” Harris, l’un des nombreux chercheurs en sécurité qui ont signalé le problème à Microsoft cette année, a fait part de ses conclusions à ZDNet en début de semaine.
Le chercheur en sécurité a déclaré que le bug était situé sur enforcement.xbox.com, le portail web où les utilisateurs Xbox vont pour voir les plaintes deposées contre leur profil Xbox et faire appel s’ils estiment avoir été injustement sanctionnés pour leur comportement sur le réseau Xbox.
Lorsque les utilisateurs se connectent à ce site, le site Xbox Enforcement crée un fichier cookie dans leur navigateur avec des détails sur leur session web, afin qu’ils n’aient pas à s’authentifier à nouveau lors de leur prochaine visite sur le site.
Harris explique que le fichier de cookies de ce portail contenait un champ d’identification de l’utilisateur Xbox (XUID) qui n’était pas chiffré.
En utilisant les outils inclus dans les navigateurs modernes, Harris a modifié le champ XUID et l’a remplacé par le XUID d’un compte de test qu’il avait créé dans le cadre du programme Xbox bug bounty.
“J’ai essayé de remplacer la valeur du cookie et de me rafraîchir, et j’ai soudain pu voir les emails des autres utilisateurs”, a déclaré Harris à ZDNet dans une interview cette semaine.
Harris a également partagé une vidéo du bug, intégrée ci-dessous :
Microsoft a déployé un correctif pour ce bug le mois dernier. “Le correctif consistait à chiffrer le XUID”, nous a dit Harris.
La correction a été déployée côté serveur, et “il n’y a pas de mesures supplémentaires que les utilisateurs doivent prendre pour rester protégés”, a déclaré un porte-parole de Microsoft dans un mail mardi.
Harris a déclaré que les autres sous-domaines de la Xbox ne souffrent pas du même problème.
Un analyste en sécurité travaillant pour le Security Response Center de Microsoft, qui teste les rapports de bug, a déclaré que le bug n’était pas couvert par le programme de bug bounty de la Xbox, mais que la société avait accepté de faire figurer Harris dans son Bug Bounty Hall of Fame en tant que contributeur.
Bien que Microsoft n’ait pas classé ce bug comme méritant une prime, il aurait pu permettre à des acteurs malveillants de lier n’importe quelle balise de joueur Xbox à la véritable adresse électronique d’un joueur.
L’établissement de liens entre les comptes de messagerie électronique et l’identité réelle des joueurs a donné lieu à de nombreux cas de harcèlement. Cette technique est aujourd’hui rendu possible grâce à la pléthore d’outils disponibles en ligne qui peuvent établir des liens entre différents profils en ligne, même à partir de la plus petite information personnelle.
Source : “ZDNet.com”
