Xbox漏洞可让黑客将玩家标签与玩家的电子邮件链接起来

Microsoft修复了Xbox网站上的一个漏洞，攻击者可利用该漏洞将Xbox玩家标签（用户名）链接到用户的真实电子邮件地址。

该漏洞是通过Microsoft最近推出的Xbox漏洞奖励计划报告给该公司的。

发现该漏洞的安全研究员Joseph“Doc”Harris称，该漏洞位于enforcement.xbox.com，Xbox用户可以在该门户网站上查看针对其Xbox个人资料的攻击，如果他们觉得自己在Xbox网络上的行为受到了不公平的谴责，可以提出申诉。

用户登录该网站后，Xbox Enforcement网站会在其浏览器中创建一个cookie文件，其中包含有关web会话的详细信息，因此用户下次再次访问该网站时，无需重新进行身份验证。

Harris称，该门户网站的cookie文件包含一个未加密的Xbox用户ID（XUID）字段。

Harris使用所有现代浏览器中包含的工具，编辑了该XUID字段，并将其替换为他创建的测试帐户的XUID。

Harris在接受媒体采访时说：“我试图替换cookie值，然后刷新，突然间我就可以看到其他用户的电子邮件了。”

上个月，Microsoft为该漏洞部署了一个补丁。Harris称，该补丁通过加密XUID修复了漏洞。

Microsoft的一位发言人表示，该补丁是在服务器端部署的，用户不需要采取额外的措施来保持受保护状态。

Harris表示，其他Xbox子域未受到同样问题的困扰。

Microsoft安全响应中心的一位安全分析人员表示，该漏洞不在Xbox漏洞奖励计划的涵盖范围内，但该公司同意将Harris作为贡献者，放在其漏洞奖励名人堂中。

尽管Microsoft没有将该漏洞归类为值得金钱奖励，因为该漏洞不能用来劫持Xbox，但该漏洞可以让攻击者将任何Xbox玩家标签链接到玩家的真实电子邮件地址。

将电子邮件帐户与游戏玩家的真实.身份联系起来已经导致了许多骚扰事件，而如今，借助于网上公开的大量OpSec工具，即使是从最小量的个人信息中，也可以在不同的在线配置文件之间建立联系。

-----------------------------------------------------------------------------------------------------------

作者：Catalin Cimpanu

来源：ZDNet

编译：猫冬