Баг на сайте Xbox позволил злоумышленникам узнать адреса электронной почты игроков При этом хак оказался настолько простым и выполняемым встроенными в современные браузеры средствами, что его мог повторить в принципе любой желающий
Для получения доступа к конфиденциальной информации, достаточно было провернуть нехитрые манипуляции на портале enforcement.xbox.com. Стоит отметить, что на момент написания материала, проблема была устранена.
Специалист по кибербезопасности Джозеф Харрис рассказал, что уязвимость была найдена в результате его желания проверить сервисы Microsoft на прочность. Для этого эксперт зашёл на портал Xbox Enforcement, где воспользовался незашифрованностью поля Xbox user ID в cookie-файлах сайта. Затем, использовав «инструменты, включённые во все современные браузеры», он подменил этот самый ID на ID другого, тестового аккаунта.
