软餐(ruancan.com)获悉,微软的游戏平台 Xbox Live 曝出严重漏洞,用户的电子邮件 ID 存在暴露风险。
消息来源是 ZDNet。向微软报告该问题的研究人员之一是 Joseph ‘Doc’ Harris,他告诉 ZDNet 该漏洞位于 “enforcement.xbox.com” 域上。这是一个处理用户账号封禁事务的站点。
Harris 称,该门户网站的 cookies 包含一个未加密的 Xbox 用户 ID(XUID)字段,黑客只需将 XUID cookie 值替换为他创建的测试帐户的 XUID 值,就可以看到其他用户的电子邮件。
网络安全研究人员表示,黑客可以看到使用该服务的任何人的电子邮件 ID。现在微软已在服务器端进行了修补,同时已发布声明说,用户不必自己采取任何措施来解决该问题。
不过,这个 bug 并未包含在微软 Xbox bug 赏金计划中,这意味着 Harris 并未为自己的研究和贡献获得任何经济报酬,尽管微软已同意将其列为 Bug 赏金名人堂的贡献者。