Xbox: fallo exponía las direcciones de correo electrónico de los jugadores

Una vulnerabilidad de seguridad detectada en un sitio web de Xbox podría haber permitido a piratas informáticos encontrar las direcciones de correo electrónico que utilizan los jugadores para acceder a la plataforma, a pesar de que estas son privadas por defecto.

El fallo residía dentro de Xbox Live Enforcement, una página que permite a los usuarios denunciar a otros jugadores por comportamiento que infringe las políticas de la comunidad, como por ejemplo, cuando utilizan lenguaje inapropiado, publican videos ofensivos o realizan acoso.

Uno de los investigadores que descubrió el fallo fue Joseph ‘Doc’ Harris, quien lo reportó a través del programa de recompensas de errores de Microsoft. Según detalló, si se explotaba el error, se podía extraer el correo electrónico detrás del gamertag (nombre de usuario) de cualquier persona.

Cuando se inicia sesión en el sitio web de Xbox Live, se crea en el navegador un archivo ‘cookie’ con dicha información para que, la próxima vez que se visite la página, no haya necesidad de colocar nuevamente el usuario y contraseña.

No obstante, el campo de ID de usuario de Xbox (XUID) dentro de este archivo no estaba encriptado. Por lo tanto, con ayuda de las herramientas que incluyen los propios navegadores web para editar el código fuente de una página, se podía reemplazar el valor de las cookies y ver los correos de otros usuarios.

Esta información puede ser utilizada por malos actores para acosar a cualquier jugador, una práctica común de abuso dentro de la comunidad y que ya ha provocado consecuencias fatales. Esta semana, Microsoft lanzó una actualización para resolver el problema y así “ayudar a proteger a los clientes”.