صححت شركة مايكروسوفت خطأً في موقع منصة الألعاب (إكس بوكس) Xbox على الويب، وكان من الممكن أن يسمح الخطأ للمتسللين بربط أسماء المستخدم الخاصة باللاعبين في (إكس بوكس) بعناوين البريد الإلكتروني الحقيقية للمستخدمين.
وكانت مايكروسوفت قد أُبلغت بالخطأ من خلال برنامج المكافآت الخاص باكتشاف ثغرات (إكس بوكس) الذي أُطلق حديثًا.
ونشر (جوزيف هاريس) – وهو واحد من بين العديد من الباحثين الأمنيين الذين أبلغوا مايكروسوفت بالمشكلة خلال العام الحالي – نتائجه على موقع ZDNet التقني في وقت سابق من الأسبوع الحالي.
وقال الباحث الأمني: إن الثغرة وُجدت في الرابط enforcement.xbox.com، وهي بوابة الويب حيث يمكن لمستخدمي (إكس بوكس) عرض الإنذارات التي وُجِّهت إليهم ضد الملفات الشخصية الخاصة بهم، وتقديم استئناف إن وجدوا أنهم لا يستحقون الإنذار بسبب تصرفاتهم في شبكة (إكس بوكس).
وبعد أن يسجل المستخدمون الدخول إلى موقع الويب هذا، فإن موقع Xbox Enforcement يُنشئ ملفًا لتعريف الارتباط (كوكيز) في متصفح الويب الخاص بهم مع تفاصيل عن جلسة الويب الخاصة بهم؛ لئلا يحتاجوا إلى إعادة تصديق الدخول عندما يزورون الموقع في أوقات لاحقة.
وقال هاريس: إن ملف تعريف الارتباط الخاص بالموقع يتضمن المعرف الشخصي لمستخدمي (إكس بوكس) المسمى اختصارًا XUID بصورة غير مشفرة. وباستخدام أدوات بسيطة، تشمل حتى متصفحات الويب الحديثة، فقد تمكن هاريس من تعديل حقل XUID واستبدال اسم آخر به.
وقال هاريس في مقابلة مع موقع ZDNet: “حاولت استبدال قيمة ملف تعريف الارتباط، وبالتحديث، وجدت نفسي فجأةً قادرًا على رؤية عناوين البريد الإلكتروني الأخرى الخاصة بالمستخدم”. وأطلقت مايكروسوفت تصحيحًا لهذا الخطأ الشهر الماضي. وقال هاريس: إن الإصلاح كان لتشفير XUID.
وقال متحدث باسم مايكروسوفت لموقع ZDNet: إن الإصلاح نُشر من جانب الخادم فقط، مما يعني أنه لا يتعين على المستخدم فعل أي خطوات إضافية للبقاء في أمان.
وقال هاريس: إن النطاقات الأخرى لمنصة (إكس بوكس) لا تعاني من المشكلة ذاتها.
وقال محلل أمني يعمل في مركز الاستجابة الأمنية التابع لشركة مايكروسوفت، والذي يختبر تقارير الأخطاء: إن مكتشف الخطأ لم يحصل على مكافأة، ولكن الشركة وافقت على عرض اسم هاريس في ما يُسمّى Bug Bounty Hall of Fame بوصفه مساهمًا.