Uma vulnerabilidade presente na plataforma de assinatura Xbox Live, da Microsoft, permitia que qualquer pessoa registrasse as assinaturas do Xboxlive, Gamepass e Gamepass Ultimate gratuitamente. O custo de um ano para utilização do Xboxlive é de R$ 149 e de R$ 39,99 por mês para o Gamepass Ultimate.
O Game Pass Ultimate é um serviço online que oferece jogos e apps para usuários de videogames Xbox ou computador. Ele ainda permite que gamers possam jogar online uns com os outros.
A vulnerabilidade residia em algumas sandboxes de desenvolvedores Microsoft
A vulnerabilidade foi relatada ao TecMundo pelo pesquisador de segurança da Conviso, Marlon Fabiano (nick @astrounder). Anteriormente, astrounder teve sucesso ao relatar uma falha para a Microsoft que envolvia a compra de produtos, também sem pagar por isso, na loja da empresa. O pesquisador foi bonificado via programa de Bug Bounty em US$ 10 mil.
Especificamente sobre a vulnerabilidade em questão, Marlon conta que ela foi explorada "através da mudança e falta de controle na sandbox. O XboxOne possui um modo de desenvolvedor que permite algumas interações diferentes dos consoles em retail. Quando um console está no Dev Mode, é possível alterar a sandbox atual para interagir com algumas funcionalidades que só deveriam estar disponíveis aos donos daquelas sandboxes. Com o aplicativo "Developer Mode activation", é possível alterar as sandboxes do console ou em alguns casos também é possível ir até o menu do Xbox em Settings > System > Informação do Console e pressionar as teclas LB + RB + LT + RT".
Gratuito
Caminhos da vulnerabilidade
Marlon adiciona que a vulnerabilidade reside em algumas sandboxes de desenvolvedores Microsoft. Por ali é possível adquirir assinaturas de serviços como XboxLive, GamePass PC, GamePass Console e GamePass Ultimate.
Eles não sabiam explicar como eu havia logado nas sandboxes listadas
"Como se trata de um ambiente de desenvolvimento, não há nenhuma cobrança por isso", comenta Marlon. "A falha só é possível pois não há segmentação do que foi comprado dentro do ambiente de desenvolvimento e o que foi comprado em retail. Dessa forma compras dentro do ambiente de desenvolvimento aparecem nas compras realizadas na MSA como se fosse uma compra real. Fato que foi confirmado ao entrar em contato com o suporte do Xbox que não sabia como eu possuía a assinatura do GamePass Ultimate sem pagar um centavo".
Com as provas em mãos, o pesquisador de segurança levou os detalhes técnicos para a Microsoft. A empresa informou que "não existia esse crossover de assinaturas dos ambientes de Retail e Dev, porém não sabiam explicar como eu havia logado nas sandboxes listadas. Mesmo assim eles informaram que a vulnerabilidade reportada não se tratava de uma falha de segurança e encerraram o caso", relatou Marlon.
Vulnerabilidade
Infelizmente, a falha não havia sido corrigida após as trocas de email. Foi necessária uma publicação no Twitter para que a Microsoft corrigisse a vulnerabilidade. Atualmente, não é mais possível assinar a Live gratuitamente — pelo menos, não mais por este caminho.
Lista de pedidos
Como fazer uma denúncia ao TecMundo
O TecMundo apoia o trabalho de hackers éticos. Se você não consegue alguma resolução para falha ou vulnerabilidade por dificuldade de contato com uma empresa, entre em contato com a gente. Nossos canais de denúncia são:
Categorias