دیجیزا/ باگ بزرگی که در ساختار سرویس آنلاین ایکس باکس لایو پیدا شده، اجازه دسترسی هکرها به تمامی آدرسهای ایمیلی را که برای ثبت نام حساب کاربری استفاده شده فراهم کرده است.
هفته گذشته یک هکر ناشناس در ارتباط با وبسایت Motherboard ادعا کرده که میتواند با استفاده از گیمرتگ تمامی کاربران ایکس باکس به آدرس ایمیل آنها دسترسی پیدا کند. همانطور که احتمالاً در جریان هستید، دسترسی به آدرس ایمیلی که به گیمرتگ کاربران لینک شده بهصورت پیش فرض در حالت «خصوصی» قرار داشته و برای سایر افراد قابل مشاهده نیست. خبرگزاری Vice با آزمایش دو گیمرتگ مختلف که یکی از آنها چند دقیقه قبل ایجاد شده، وجود چنین آسیب پذیری را در سرورهای ایکس باکس تأیید کرده است. این هکر در عرض چند ثانیه آدرس ایمیلی که برای ساخت این دو اکانت مورد استفاده قرار گرفته را برای سایت ارسال کرده است.
اما در ادامه هکر ناشناس دیگری ادعا کرده که این باگ در پورتال اجرایی سرویس ایکس باکس لایو قرار دارد. جایی که گیمرها میتوانند با تیم تعیین کننده قوانین جامعه کاربران آنلاین ایکس باکس ارتباط برقرار کنند.
ظاهراً بعد از اینکه Motherboard هفته گذشته با مایکروسافت ارتباط برقرار کرده است، این شرکت باگ مربوطه را رفع کرده است. مرکز پاسخگویی به مسائل امنیتی مایکروسافت (MSRC) که مسئولیت حفاظت از اطلاعات کاربران در محصولات و نرم افزارهای مایکروسافت را برعهده دارد، در ابتدا این باگ را بهعنوان یک ریسک امنیتی جدی تلقی نکرده است.
MSRC در ایمیلی که در ارتباط با وبسایت Vice ارسال کرده مینویسد: «ما گزارشهای متعددی را مبنی بر این موضوع دریافت کردیم و این مشکل را به تیم مسئول بررسی آن اطلاعرسانی کردهایم. با وجود اینکه آدرس ایمیل کاربران جزء اطلاعات حساس طبقهبندی میشود، باتوجه به عدم امکان دسترسی به هویت اشخاص ازطریق این آدرس، این قضیه برای MSRC یک ریسک جدی تلقی نمیشود. لذا این مرکز، رسیدگی به این مسئله را به گروه پشتیبانی نرم افزاری شرکت واگذار کرده تا تصمیمات مورد نیاز را اتخاذ کنند.»
روز سه شنبه، سخنگوی مایکروسافت تأیید کرده که یک آپدیت جدید برای حفاظت از اطلاعات کاربران را منتشر کرده است. هکری که با نشریه Motherboard ارتباط برقرار کرده، از آنها درخواست کرده تا این خبر را پس از رفع مشکل توسط مایکروسافت منتشر کند.
وی در مکالمه آنلاین خود مینویسد: «اگر شما این خبر را قبل از انتشار آپدیتِ رفع این مشکل منتشر کنید، افراد در کمتر از ۲ الی ۳ دقیقه به آن دسترسی پیدا خواهند کرد. این سادهترین باگی بود که من تا به حال پیدا کردم.»
این هکر درخواست کرده که به منظور جلوگیری از فاش شدن اطلاعات هزاران نفر از کاربران ایکس باکس، این خبر بعد از رفع مشکل منتشر شود. هکرها در سال ۲۰۱۷ نیز از یک باگ مشابه در اینستاگرام سوء استفاده کرده و حتی اقدام به ساخت یک دیتا بیس قابل جستوجو برای دسترسی به اطلاعات خصوصی سلبریتیها کردند.
امیر خشایار محمدی، محقق امنیت سایبری در ارتباط با وبسایت Vice اظهار داشته که وجود چنین باگی غیرمنتظره نبوده است. وی با اشاره به نحوه کارکرد گیمرتگها در ارتباط با اطلاعات هویتی افراد میگوید: «من گروهی از افراد را میشناسم که سالها است به استخراج و دزدی OG تگها میپردازند. نمیدانید که این روش چند سال است که همواره عملی بوده است.»
در هر حال، به نظر میرسد که این مشکل توسط مایکروسافت برطرف شده و خطری امنیت اطلاعات کاربران را تهدید نمیکند.