2551017

Xbox: Sicherheitlücke legte E-Mail-Adressen offen

26.11.2020 | 15:09 Uhr | Denise Bergert

Auf Microsofts Xbox-Website fand sich ein Datenleck, welches das Auslesen von E-Mail-Adressen ermöglichte.

Xbox-Nutzer bleiben durch ihren Gamertag eigentlich anonym. Spieler, die ihnen beispielsweise in Multiplayer-Games begegnen, sehen nur ihren Avatar und ihren Spitznamen. Über eine Sicherheitslücke auf Microsofts Xbox-Website war es jedoch noch bis vor kurzem möglich herauszufinden, welche E-Mail-Adresse zu einem Gamertag gehört.

Das Datenleck fand sich auf der Streitschlichtungswebsite für die Xbox-Community enforcement.xbox.com. Hier können sich Spieler anschauen, ob Beschwerden gegen sie vorliegen oder sie können Streitigkeiten schlichten. Meldet sich ein Spieler dort an, bekommt er einen Cookie, der ein erneutes Anmelden bei einem weiteren Besuch der Website überflüssig machen soll. Dieser Cookie beinhaltete jedoch ein unverschlüsseltes Feld mit der Xbox User ID (XUID). Wurde dieses Feld über die Entwickler-Konsole des Browsers editiert, gab die Website die E-Mail-Adressen von beliebigen Gamertags preis.

Die Sicherheitslücke wurde von Joseph "Doc" Harris sowie weiteren Sicherheitsexperten über das neue Xbox Bug Bounty Programm gemeldet. Microsoft hat das Datenleck mittlerweile geschlossen. Die Ermittlung der zu einem Gamertag gehörenden E-Mail-Adresse ist für Dritte nun nicht mehr so einfach möglich.

PC-WELT Marktplatz

2551017