Microsoft виправила уразливість в web-сайті Xbox, експлуатація якої дозволяла зловмисникам за допомогою тегів гравців Xbox (логінів) дізнаватися реальні адреси електронної пошти користувачів, пише ZDNet.
Проблема була виявлена в web-порталі execution.xbox.com, куди користувачі Xbox заходять для перегляду попереджень, що стосуються їх профілю Xbox, і подачі апеляцій, якщо вони вважають, що їм було винесено несправедливий догану за поведінку в мережі Xbox. Після авторизації на сайті Xbox Enforcement створює cookie-файл в браузері з докладною інформацією про web-сеансі користувача, дозволяючи уникати процес авторизації при наступному відвідуванні сайту.
Ввімкнений cookie-файл порталу містить поле ідентифікатора користувача Xbox (XUID), яке не було зашифровано. Використовуючи інструменти, включені в усі сучасні браузери, дослідник безпеки Джозеф Харіс відредагував поле XUID і замінив його на XUID тестового облікового запису, яку він створив і використовував для тестування в рамках програми винагороди за знайдені уразливості від Xbox.
“Я намагався замінити значення cookie-файлу і оновити його, і раптово зміг побачити адреси електронної пошти інших користувачів”, – сказав Харіс.
Microsoft виправила цю проблему на стороні сервера, так що користувачам не потрібно робити ніяких додаткових дій.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ
Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ
Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС
Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ
Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ
До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.
Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.
Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.
У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.
П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.