Posté le novembre 26, 2020 à 10:26
UNE VULNÉRABILITÉ DANS XBOX DONNE AUX HACKERS L’ACCÈS AUX E-MAILS DES JOUEURS
Une grande vulnérabilité de Xbox Live a été découverte.La vulnérabilité permet aux hackers d’obtenir l’adresse électronique utilisée pour créer un gamertag de Xbox.
Un hacker anonyme a signalé la semaine dernière et a prétendu avoir trouvé l’adresse électronique utilisée pour activer le Xbox Gamertag de quelqu’un. En général, ces adresses électroniques reliant les Gamertags ne sont pas répertoriées.
La vulnérabilité existe dans le portail de Xbox Live Enforcement
Pour vérifier l’authenticité de la déclaration, les recherches de cybersécurité de la Motherboard ont donné au hacker deux Gamertags pour essayer de trouver leur adresse e-mail liée. En quelques secondes, le hacker a répondu avec les deux adresses électroniques liées aux Gamertags.
Un autre hacker non identifié a confirmé que la vulnérabilité existe dans le portail de Xbox Enforcement où les joueurs s’adressent aux gestionnaires de la communauté en ligne de la Xbox.
Microsoft n’a pas répondu rapidement à la menace
Même après avoir été alerté de la menace pour la sécurité et de sa gravité évidente, Microsoft n’a pas réagi immédiatement.
Lorsque la carte mère a envoyé au géant de la technologie un courriel concernant la menace pour la sécurité, la réponse a été jugée trop vague. Selon le Microsoft Response Center (MSRC), puisque l’e-mail « ne fournit rien d’autre pour identifier l’émetteur, n’est pas quelque chose qui répond aux critères de service du MSRC ».
Microsoft a également déclaré qu’elle n’examinerait pas la menace et qu’elle permettrait au groupe de produits de déterminer son degré de gravité.
Cependant, Microsoft a révélé mardi qu’elle avait fait le point sur la menace pour la sécurité afin de protéger les utilisateurs.
Selon le hacker anonyme qui a contacté Motherboard au sujet de la vulnérabilité, c’est la faille la plus facile qu’il ait découverte. Il a ajouté que les détails du bogue ne devraient pas être divulgués au public avant qu’un patch ou une mise à jour ne soit publié.
Un acteur malveillant avec ce type de découverte pourrait lancer une attaque sur les victimes. Ils peuvent utiliser ce type de bogue pour lancer des attaques. Par exemple, une vulnérabilité similaire sur Instagram en 2017 a permis aux hackers de créer une base de données consultable pour doper les célébrités.
Après avoir été contactée la semaine dernière, la société Microsoft a publié une mise à jour de la vulnérabilité, après avoir initialement tardé à proposer un correctif pour cette faille.
De nombreux rapports au sujet de la faille sont reçus
Selon Microsoft, la société a reçu différents rapports sur la faille, mais l’équipe de sécurité a pris les mesures nécessaires pour sortir le correctif.
Selon le hacker qui a découvert la faille, si Motherboard publie des informations sur la faille, les acteurs malveillants pourraient la trouver en quelques minutes, ce qui mettrait en danger de nombreux utilisateurs, car il s’agit de la vulnérabilité la plus facile à découvrir.
Selon le hacker, les acteurs malveillants qui ont utilisé la possibilité fournie par faille pour utiliser les Gamertags afin de recevoir des milliers d’e-mails de joueurs de Xbox.
L’industrie du jeu est récemment devenue la cible d’acteurs malveillants qui cherchent à accéder à des informations sur les joueurs. Une fois ces informations obtenues, les acteurs malveillants peuvent les utiliser pour lancer des attaques à l’avenir, comme cela a été le cas récemment avec le bug d’Instagram.
Une forme particulière d’abus qui a attiré davantage l’attention dans l’industrie du jeu est le fait que des acteurs malveillants utilisent les coordonnées de leurs victimes pour les harceler et les duper, ce qui peut parfois avoir de graves conséquences.
Outre le rapport du hacker anonyme sur le bug, un autre hacker était également au courant. Le second hacker anonyme a demandé à Motherboard si elle était au courant de ce « Xbox zero-day ».
Le hacker a alors expliqué qu’il parlait de la méthode pour retirer tout courrier de n’importe quel Gamertag, ce qui est possible grâce à la faille de Xbox Live Enforcement.
Un expert en sécurité qui travaille dans l’industrie du jeu a décrit la vulnérabilité comme un « grand cauchemar de la vie privée », ajoutant que tout cela est ironique si leur portail de sécurité et de confiance expose l’utilisateur à une cyber-attaque.
Mais un autre chercheur en cybersécurité, Amir Khashayar Mohammadi, a déclaré que la vulnérabilité ne le surprenait pas.
Il a déclaré que la méthode consistant à voler les e-mails des rares Gamertags n’est pas nouvelle, car certaines personnes le font depuis des années. Mais il s’est demandé pourquoi les entreprises n’ont pas été en mesure de découvrir de tels bugs, même avec leurs outils de sécurité sophistiqués.