Xbox solucionó un fallo de seguridad en su página web que exponía las direcciones de correo electrónico de los jugadores, ya que permitía averiguarlas solo con conocer el identificador de usuario de sus cuentas.
El error lo descubrió Joseph ´Doc´ Harris, investigador de ciberseguridad, que lo reportó a Microsoft como parte del programa de recompensas de Xbox para los expertos que descubran vulnerabilidades, como informó ZDNet.
Este fallo se encontraba presente en la página web de Xbox, concretamente en el apartado enforcement.xbox.com, al que los usuarios acuden para apelar las sanciones por su comportamiento jugando en la red de Xbox.
Después de registrarse en esta web, se crea un archivo “cookie” con los detalles sobre su sesión, de manera que no tengan que registrarse de nuevo al volver a acceder a la página.
En este archivo, el identificador ID de Xbox no estaba encriptado, por lo que al acceder a este dato, era posible registrarse con una cuenta de prueba para conocer el correo electrónico asociado.
Dado que la actualización se difundió a través de los servidores de Xbox, “no hay pasos adicionales que los usuarios deban tomar para estar protegidos”, como aseguró la división de Microsoft en un comunicado.
Fuente: DPA
