E-mailadres gebruikers Xbox Live door kwetsbaarheid te achterhalen

[Captain Kirk]

Een kwetsbaarheid in de website van Xbox Live maakte het mogelijk om het e-mailadres en de naam van gebruikers te achterhalen. De enige vereiste voor een aanvaller was dat hij over de gamertag van een doelwit beschikte. Meerdere personen wisten het beveiligingslek te vinden voordat het door Microsoft werd verholpen.

De kwetsbaarheid was aanwezig in de website enforcement.xbox.com, waar gamers terecht kunnen als ze bijvoorbeeld op het Xbox-netwerk zijn geschorst. Wanneer gebruikers op de website inloggen wordt er een cookie aangemaakt met details over de sessie. Dit cookiebestand bevatte een onversleuteld Xbox user ID (XUID). Door het XUID via standaard browsertools met een ander XUID te vervangen was het mogelijk om de voor- en achternaam en het e-mailadres dat bij dit XUID hoorde te bekijken.

"Ik probeerde de cookiewaarde te vervangen en deed een refresh, waarna ik het e-mailadres van andere gebruikers kon zien", laat beveiligingsonderzoeker Joseph "Doc" Harris tegenover ZDNet weten. Eerder berichtte ook al Vice Magazine over de kwetsbaarheid. Microsoft heeft het probleem verholpen door het XUID te versleutelen, stelt Harris. In onderstaande video demonstreert hij de kwetsbaarheid met een testaccount.

 

bron: https://www.security.nl