Error permitió obtener la dirección de correo electrónico de cualquier persona en Xbox Live

Una falla grave en Xbox Live permitió a piratas informáticos encontrar fácilmente la dirección de correo electrónico utilizada para registrar cualquier gamertag de Xbox. 

La semana pasada, un pirata informático anónimo se acercó a Motherboard, para afirmar que podía descubrir el correo electrónico detrás del gamertag de Xbox de cualquier persona. Por defecto, las direcciones de correo electrónico vinculadas a gamertags son privadas.

Motherboard pudo verificar la existencia de la vulnerabilidad al proporcionar al pirata informático dos gamertags, incluido uno creado unos minutos antes con fines de prueba. El pirata informático devolvió la dirección de correo electrónico utilizada para registrar las dos cuentas en segundos.

Un segundo pirata informático anónimo dijo que el error estaba en el portal de cumplimiento de Xbox Live , donde los jugadores pueden contactar al equipo de la compañía que supervisa la comunidad en línea de Xbox. 

Después de que Motherboard se puso en contacto con Microsoft la semana pasada, la compañía corrigió el error. Inicialmente, el Centro de Respuesta de Seguridad de Microsoft, o MSRC, una parte de la compañía que protege a los clientes de ser dañados por vulnerabilidades de seguridad en los productos y software de Microsoft, no consideró que el error fuera un riesgo de seguridad serio.

«Recibimos varios informes con respecto a esto y hemos informado al equipo apropiado sobre el problema y les permitiremos abordar esto según sea necesario», dijo el MSRC en un correo electrónico el lunes, en respuesta al informe de error de Motherboard. «Un correo electrónico puede considerarse información confidencial, sin embargo, dado que no proporciona nada más para identificar al emisor, no es algo que cumpla con los requisitos de servicio de MSRC. Como tal, MSRC no está rastreando el problema y dejará que el grupo de productos determine una mitigación según sea necesario «.

El martes, un portavoz de Microsoft confirmó que la empresa «lanzó una actualización para ayudar a proteger a los clientes».

El hacker que alertó a Motherboard del error pidió que se publicara esta historia solo después de una corrección. 

«Si publica el artículo antes de que sea parcheado, se encontrará en 2-3 minutos. Es la vulnerabilidad más fácil que he encontrado», dijo el pirata informático a Motherboard en un chat en línea. 

El hacker explicó que habría sido posible abusar del error e iterar gamertags para encontrar las direcciones de correo electrónico de cientos, si no miles, de jugadores de Xbox. En 2017, los piratas informáticos se aprovecharon de un error similar en Instagram e incluso crearon una base de datos con capacidad de búsqueda para dox de celebridades de Instagram. El error podría haberse utilizado para acosar y doxear a cualquiera con un gamertag, una forma común de abuso en la comunidad de jugadores.