Yakın zamanda keşfedilen bir Xbox açığı, bilgisayar korsanlarının, oyuncu etiketlerini kullanarak, kullanıcılara ait e-posta adreslerine erişmesini mümkün kılıyordu. Xbox hata ödül programı aracılığı ile Microsoft’a bildirilen söz konusu açık, keşfedildikten kısa bir süre sonra düzeltildi.
- Xbox’ta 120 Hz desteğini etkinleştirme [Nasıl Yapılır]
- Microsoft, Xbox Series X’teki tedarik sorununun nisan ayına kadar sürebileceğini açıkladı
- PS5 DualSense ve Xbox Series X / S kontrolcüsüne Steam desteği geliyor
ZDNet tarafından verilen bilgilere göre, Xbox kullanıcılarının e-posta adreslerinin görüntülenebilmesine olanak sağlayan açık, tarayıcı çerezlerinde bulunan şifrelenmemiş bir kullanıcı kimliği alanından kaynaklanıyordu.
Kullanıcılar, enforcement.xbox.com sitesi üzerinden giriş yaptıklarında, sistem onların web oturumları ile ilgili bilgileri içeren bir tanımlama dosyası oluşturuyor ve bu dosya sayesinde, sonraki girişlerde kimlik doğrulaması yapmak gerekmiyordu. Fakat oluşturulan bu tanımalama dosyası içerisinde, herkesin erişebileceği bir Xbox kullanıcı kimliği (XUID) alanı da vardı.
Bilgisayar korsanları, modern tarayıcılarda yer alan bazı araçları da kullanarak, XUID alanını düzenleyebiliyor ve bu sayede söz konusu verilere erişim sağlayabiliyorlardı. Böylece, söz konusu Xbox açığı sayesinde oyuncu etiketleri üzerinden, kullanıcıların e-posta adresilerine ulaşmak mümkün oluyordu.
İlgili açığı, hata ödül programı çerçevesinde Microsoft’a bildiren güvenlik araştırmacılarından bir tanesi olan Joseph Harris, konuyla ilgili detayları ZDNet ekibine anlattı ve Youtube üzerinden bir de video paylaştı. Harris, yaptığı açıklamada ‘çerez değerlerini değiştirmeyi ve yenilemeyi denedim ve aniden diğer kullanıcılara ait e-posta adreslerini karşımda gördüm’ ifadelerini kullandı.
Microsoft açığı giderdi
Microsoft, söz konusu açık ile ilgili bildirimleri aldıktan kısa bir süre sonra, bir yama yayınladı ve ilgili XUID alanını şifreledi. Şirket sözcüsü, Salı günü yaptığı açıklamada, Xbox kullanıcılarının artık tamamen güvende olduklarını ve korunmak için herhangi bir ek işlem yapmalarına gerek kalmadığını söyledi.
Xbox açığı ile ilgili. Microsoft’a geri bildirimde bulunan araştırmacılardan bir tanesi olan Harris, kullanıcıların e-posta adresilerine erişimi mümkün kılan hatanın yalnızca, enforcement.xbox.com sitesinde bulunduğunu ve diğer alt alan adlarında ise böyle bir problemin olmadığını belirtti.
Microsoft, bu hatayı Xbox’ı ele geçirmek için kullanılabilecek bir hata olarak değerlendirmediğinden ötürü, bildirimde bulunan kişilere herhangi bir ödül vermedi. Bununla birlikte, açığı farkeden bilgisayar korsanlarının, oyuncu etkileri üzerinden kullanıcı e-posta adresine çok kolay bir şekilde erişebileceği ve bu e-posta adreslerinin çeşitli şekillerde kullanılabileceği ifade ediliyor.