Um bug no Xbox Live permitiu que os hackers encontrassem qualquer e-mail associado a um gamertag registrado. O site usado para relatar mau comportamento na comunidade online do Xbox estava escondendo uma vulnerabilidade que permitia que hackers roubassem endereços de e-mail de usuários.
que na semana passada um hacker anônimo entrou em contato com eles afirmando ser capaz de encontrar o e-mail anexado a qualquer gamertag do Xbox. A placa-mãe verificou as alegações do hacker enviando-lhes dois gamertags, um dos quais foi criado especificamente para esse teste. Em segundos, o hacker enviou de volta os endereços de e-mail com os quais essas tags foram registradas. Normalmente, esses endereços de e-mail devem ser privados. Outro hacker anônimo disse ao Motherboard que o bug pode ser encontrado no. Esta página é onde os jogadores podem entrar em contato com a equipe da Microsoft que monitora as comunidades online do Xbox.
Apesar da aparente ameaça à segurança do cliente, a resposta original da Microsoft a essa violação de segurança não era exatamente urgente. Em uma resposta por e-mail ao relatório de bug do Motherboard, o Microsoft Security Response Center (MSRC para abreviar) disse: “Um e-mail pode ser considerado uma informação confidencial, no entanto, uma vez que não fornece nada para identificar o emissor, não é algo que atenda aos padrões do MSRC para serviço. Como tal, o MSRC não está rastreando o problema e deixará para o grupo de produtos determinar uma atenuação conforme necessário. “
Mas na terça-feira, um porta-voz da Microsoft confirmou que “lançou uma atualização para ajudar a proteger os clientes”. Um dos hackers anônimos que contatou o Motherboard solicitou especificamente que o relatório sobre o vazamento não fosse publicado até que uma correção fosse feita, porque era “a vulnerabilidade mais fácil que eu já encontrei”. Garantir que tais precauções sejam tomadas é importante, mesmo com informações que não são extremamente delicadas, como endereços de e-mail. Os hackers têm um precedente de usar esses tipos de vulnerabilidades para pessoas dox, como em 2017, quando eles usaram um bug semelhante no Instagram e criaram um banco de dados pesquisável para celebridades dox.
